- Le hack NPM, le plus grand piratage de supply chain logicielle de l’histoire, a infecté des milliards de téléchargements, ciblant Ethereum et Solana, mais n’a rapporté que quelques centimes d’ETH et un memecoin illiquide.
- L’attaque a utilisé un phishing contre le mainteneur “qix”, insérant un code malveillant capable d’intercepter les transactions et de remplacer automatiquement les adresses crypto.
- Si l’impact financier est minime, le coût réel se chiffre en millions à cause des audits, mises à jour forcées et de la perte de confiance dans l’écosystème JavaScript et crypto.
Le plus grand piratage de supply chain logicielle de l’histoire a fait trembler tout l’écosystème JavaScript et crypto. Des milliards de téléchargements infectés, des portefeuilles Ethereum et Solana ciblés, des développeurs forcés de réagir dans l’urgence. Et pourtant : au final, l’attaquant n’a récolté… que quelques centimes d’ether et une poignée de memecoins illiquides.
Un paradoxe brutal : l’ampleur de l’attaque est colossale, mais l’impact financier direct reste dérisoire. Les coûts, eux, sont ailleurs, dans les heures de travail, les mises à jour forcées et la méfiance désormais enracinée au cœur du web.
Comment le hack NPM a pris forme
Tout part d’un simple email de phishing. Le développeur mainteneur “qix”, créateur de bibliothèques majeures comme chalk ou debug-js, a vu ses identifiants NPM subtilisés. Avec accès total, l’attaquant a republié des versions corrompues de tous ses packages, téléchargés des milliards de fois par semaine.
Le code malveillant était sournois : il vérifiait la présence de window.ethereum dans le navigateur et interceptait les fonctions clés des wallets comme approve ou transfer. Résultat : les transactions étaient redirigées vers une unique adresse Ethereum. Sur Solana, les transferts étaient carrément cassés, remplacés par des chaînes invalides.
Plus vicieux encore, le malware scrutait les requêtes réseau à la recherche d’adresses crypto et les remplaçait par 280 variantes proches visuellement. Un vrai “crypto-clipper” de nouvelle génération.
Une montagne pour une souris
Malgré cette sophistication, les gains sont ridicules : cinq centimes d’ETH et environ 20 dollars d’un memecoin obscur. Le rapport publié mardi par Security Alliance confirme que l’attaquant est reparti bredouille, ou presque.
Mais l’histoire ne s’arrête pas là. Derrière cette faiblesse apparente, un autre coût s’impose : celui du nettoyage. Les équipes de sécurité doivent auditer, corriger, mettre à jour. Chaque backend dépendant des bibliothèques compromises doit être revu, et cette facture-là se chiffre en millions.
Les réactions de l’écosystème crypto
Ledger, via son CTO Charles Guillemet, a rappelé que les packages infectés totalisent plus d’un milliard de téléchargements et qu’ils étaient conçus pour remplacer les adresses dans les transactions de manière indétectable. Un avertissement clair : la menace était sérieuse, même si les gains financiers ne le reflètent pas.
MetaMask, Rabby, Phantom : les wallets et apps majeurs ont rapidement rassuré leur base d’utilisateurs : la vaste majorité de l’écosystème n’est pas impacté. Mais la méfiance reste de mise pour tous ceux qui utilisent des environnements non protégés.
Le vrai enjeu
Ce piratage est un rappel brutal : la vulnérabilité ne réside pas uniquement dans les blockchains, mais aussi dans les outils que nous utilisons pour les faire fonctionner. Un email piégé peut suffire à compromettre des milliards de téléchargements et mettre en danger tout l’écosystème crypto.
En septembre 2025, alors qu’il est encore difficile d’attirer les ‘normies’, la conclusion est sans appel : même quand les hackers repartent les poches presque vides, la facture pour la communauté est gigantesque. Et la confiance, elle, mettra du temps à se rétablir.
