La $3B menace : Comment les logiciels malveillants dans les bibliothèques de code ciblent désormais les contrats intelligents Ethereum

L’écosystème des cryptomonnaies fait face à une crise croissante alors que la société de cybersécurité ReversingLabs a dévoilé une vecteur d’attaque sophistiqué : des acteurs malveillants exploitent des packages NPM open-source pour injecter des logiciels malveillants directement dans des contrats intelligents Ethereum. Cette découverte marque une évolution dangereuse dans les attaques par chaîne d’approvisionnement contre l’infrastructure blockchain.

La vulnérabilité croissante de la DeFi : $3B Dommages en 2025

L’ampleur de la menace est stupéfiante. Selon l’analyse blockchain de Global Ledger, les hackers ont réussi à voler $3 milliards lors de 119 incidents distincts au cours du premier semestre 2025 — une hausse de 150 % par rapport à l’ensemble de l’année 2024. Les dégâts illustrent à quel point les protocoles DeFi, devenus des cibles faciles, sont vulnérables aux attaques coordonnées exploitant des failles communes.

Un cas notable souligne ce risque : en juillet, des attaquants ont compromis le contrat Rebalancer d’Arcadia Finance sur la blockchain Base, drainant 2,5 millions de dollars en manipulant les paramètres d’échange. Cet incident a démontré que même des protocoles établis sont exposés lorsque des lacunes de sécurité existent.

La campagne de malware NPM : comment Zanki et ReversingLabs ont découvert l’attaque

L’enquête du chercheur de ReversingLabs, Karlo Zanki, au début juillet, a révélé un schéma inquiétant. Les acteurs malveillants dissimulaient du code malicieux dans des packages NPM apparemment légitimes, avec les variantes les plus dangereuses identifiées comme colortoolsv2 et mimelib2, tous deux uploadés en juillet.

Ces packages fonctionnent selon une structure à deux fichiers conçue pour une discrétion maximale. Le composant principal, un script appelé index.js, contient des charges utiles malveillantes cachées qui s’activent une fois installées dans un projet de développeur. Ce qui rend cette campagne sans précédent, c’est le mécanisme de livraison : le malware n’utilise pas de serveurs de commandement et contrôle traditionnels, mais exploite plutôt des contrats intelligents Ethereum pour stocker et récupérer des URL permettant de télécharger des malwares de second stade.

Cette approche contourne les scans de sécurité classiques en exploitant l’immuabilité et la nature distribuée de la blockchain comme couche d’obfuscation.

Le faux bot Solana : comment une légitimité fabriquée a trompé les développeurs

Les chercheurs ont découvert un dépôt GitHub compromis nommé solana-trading-bot-v2 contenant le package malicieux colortoolsv2. Le dépôt semblait digne de confiance pour un observateur occasionnel — il affichait des milliers de commits, plusieurs contributeurs actifs, et un nombre important d’étoiles — mais tous les indicateurs de légitimité étaient artificiellement construits.

Tout développeur installant ce package accorderait à l’insu des attaquants un accès aux portefeuilles utilisateurs, pouvant potentiellement drainer tous les fonds connectés. Cette attaque combine trois couches de tromperie : un dépôt falsifié, un code malveillant obfusqué, et une livraison de commandes basée sur la blockchain.

Pourquoi les contrats intelligents sont devenus une infrastructure d’attaque

L’innovation ici représente un changement dans la méthodologie des attaquants. Plutôt que de maintenir une infrastructure C2 traditionnelle vulnérable à une suppression, les acteurs malveillants utilisent désormais des contrats intelligents Ethereum comme réseaux de distribution de malware permanents et résistants à la censure. La nature décentralisée de la blockchain garantit que ces centres de commandement restent opérationnels, indépendamment des interventions des forces de l’ordre.

Selon Slava Demchuk, PDG d’AMLBot, les vulnérabilités dans le contrôle d’accès et les défauts de conception des contrats intelligents restent les principales voies d’attaque. L’architecture modulaire des protocoles DeFi amplifie les dégâts, permettant aux attaquants de chaîner les exploits sur plusieurs plateformes simultanément.

L’événement d’extinction de la chaîne d’approvisionnement auquel personne n’est prêt

Le contexte plus large est encore plus alarmant : 2025 a connu une explosion des campagnes NPM. Au-delà de colortoolsv2, les chercheurs ont documenté les packages ethers-provider2 et ethers-providerz en mars, suivis de nombreux infostealers, téléchargeurs et droppers découverts tout au long de l’année.

Chaque nouvelle variante de malware démontre que les acteurs malveillants ont évolué, passant de cibler des utilisateurs individuels à compromettre la chaîne de développement elle-même. Un seul package malveillant peut infiltrer des milliers de projets, transformant les dépôts open-source en vecteurs de distribution.

Ce que les développeurs doivent faire maintenant

Les auditeurs de sécurité insistent sur une action cruciale : avant d’intégrer une bibliothèque externe, les développeurs doivent effectuer une évaluation approfondie de l’origine du package, de l’historique des contributeurs et de l’authenticité du code. L’ère de la confiance par défaut dans l’open-source est révolue.

Les découvertes de ReversingLabs montrent que les contrats intelligents Ethereum — initialement conçus comme une infrastructure sans confiance — sont devenus sans confiance d’une toute autre manière : les attaquants les exploitent comme des canaux de distribution de malware permanents, en toute sécurité dans la certitude que l’immuabilité de la blockchain rend leur suppression impossible une fois déployés.