Des acteurs malveillants ont lancé une nouvelle vague de cyberattaques visant les détenteurs de crypto, ciblant spécifiquement les utilisateurs des portefeuilles Atomic et Exodus via des paquets logiciels malveillants téléchargés sur les plateformes de codage.
Les chercheurs en sécurité avertissent que le malware, intégré dans des paquets npm couramment utilisés comme pdf-to-office, est conçu pour récolter des clés privées en manipulant les fichiers locaux des portefeuilles.
Selon l'analyse de ReversingLabs, le code malveillant se présente comme un logiciel légitime, mais une fois installé, il modifie discrètement l'interface utilisateur des portefeuilles Atomic et Exodus. Cette manipulation trompe les utilisateurs, les incitant à envoyer des fonds à des adresses contrôlées par les attaquants, réacheminant effectivement les transactions sans détection.
Ce type d'attaque de la chaîne d'approvisionnement logicielle souligne une tendance de plus en plus dangereuse dans l'espace crypto, où des hackers infiltrent des environnements de développement pour réaliser des exploits au niveau de l'infrastructure.
L'ampleur de ces attaques continue de croître. Au premier trimestre 2025 seulement, la société de cybersécurité Hacken estime que les hacks et exploits liés aux cryptos ont entraîné des pertes dépassant les 2 milliards de dollars. Un chiffre stupéfiant de 1,4 milliard de dollars provient du hack de Bybit en février - actuellement le plus grand de l'histoire de la crypto.
Suite à l'incident, SafeWallet - un fournisseur de portefeuille impliqué dans la brèche - a partagé un post-mortem détaillé en mars 2025. Les enquêteurs ont révélé que des hackers ont compromis l'ordinateur d'un développeur et détourné des jetons de session AWS pour infiltrer les systèmes internes de SafeWallet et orchestrer le vol de Bybit.
Parallèlement, une autre tactique trompeuse qui gagne du terrain est l'arnaque de "falsification d'adresse". Le responsable de la sécurité de Casa et célèbre cypherpunk Jameson Lopp a récemment exprimé ses préoccupations concernant cet exploit subtil mais efficace.
Dans ces attaques, les escrocs génèrent des adresses de portefeuille qui ressemblent visuellement à celles de l'historique des transactions d'une victime - en imitant généralement les premiers et derniers caractères. Une petite transaction est ensuite envoyée à la victime pour implanter la fausse adresse dans leur historique. Si l'utilisateur réutilise cette adresse sans le savoir, ses fonds sont redirigés vers l'attaquant.
Cyvers, une entreprise de cybersécurité surveillant les menaces sur blockchain, a signalé que la falsification d'adresse à elle seule a conduit à plus de 1,2 million de dollars de crypto volés en mars 2025.
Alors que les acteurs malveillants font évoluer leurs méthodes, allant de la manipulation des outils de développement à l'exploitation des habitudes des utilisateurs, les professionnels de la cybersécurité appellent à une vigilance accrue sur tous les fronts de l'écosystème crypto.