Microsoft a averti que des attaquants avaient dissimulé des malwares de vol de cryptomonnaies dans des paquets npm publics, créant un nouveau risque pour les développeurs, les investisseurs en cryptomonnaies et les utilisateurs de portefeuilles. Résumé Microsoft affirme que les paquets npm déploient un logiciel malveillant de type RAT qui dérobe discrètement les informations d'identification des portefeuilles de cryptomonnaies sur les appareils. Les attaquants ont utilisé les dépôts Hugging Face pour transférer les données volées, évitant ainsi les journaux de trafic serveur suspects. La couverture de Crypto.news relie l'avertissement de Microsoft à des attaques plus larges de la chaîne d'approvisionnement visant les développeurs et les outils de portefeuille crypto. Microsoft signale des paquets npm empoisonnés Microsoft Threat Intelligence a déclaré que deux paquets npm compromis, [email protected] et [email protected], « abusaient des dépôts Hugging Face comme infrastructure d'exfiltration ». La société a indiqué que les paquets déploient un cheval de Troie d'accès à distance, ou RAT, capable de collecter les frappes au clavier, les captures d'écran et les informations d'identification des portefeuilles de cryptomonnaies. Npm est un registre de logiciels public utilisé par les développeurs JavaScript pour créer des applications et des outils web. Lorsqu'un développeur installe un paquet empoisonné, le logiciel malveillant peut s'exécuter discrètement sur l'appareil et surveiller les fichiers sensibles, les mots de passe ou les données de portefeuille. La voie Hugging Face augmente le risque de détection Cette campagne se distingue par le fait que les attaquants ont utilisé Hugging Face, une plateforme de confiance pour les projets d'intelligence artificielle et d'apprentissage automatique, pour transférer les données volées. Cette méthode peut rendre le trafic moins suspect qu'un lien direct vers un serveur criminel inconnu. Pour les utilisateurs de cryptomonnaies, cela crée une préoccupation de sécurité directe. Une machine de développeur peut stocker des portefeuilles de navigateur, des clés privées, des fichiers de phrases de récupération, des clés API d'échange, des jetons GitHub et des identifiants cloud. Si les attaquants collectent ces détails, ils peuvent cibler les portefeuilles, les dépôts de code et les systèmes de trading. Attaques plus larges visant les développeurs Des articles connexes de crypto.news montrent que les attaques de la chaîne d'approvisionnement logicielle restent un problème actuel pour le secteur des cryptomonnaies. Un rapport du 25 mai indiquait que la campagne de logiciels malveillants TrapDoor s'était propagée via plus de 34 paquets malveillants à travers les écosystèmes npm, PyPI et Rust. Cette campagne ciblait les développeurs de cryptomonnaies et d'IA en volant des données de portefeuille, des clés API, des identifiants cloud et l'accès SSH via de faux outils de développement. Elle a également montré comment les attaquants ciblent désormais les personnes et les systèmes utilisés pour créer des applications crypto, et pas seulement les utilisateurs finaux. Crypto.news a également rapporté en mars que Slow Fog avait averti les développeurs concernant des versions malveillantes d'Axios. Les versions empoisonnées ont introduit le logiciel malveillant plain-crypto-js et ont exposé les développeurs de cryptomonnaies à des RAT multiplateformes et à des informations d'identification volées via npm. Le cryptojacking ajoute une autre alerte de Microsoft L'avertissement de Microsoft fait suite à un autre rapport de logiciels malveillants de ses équipes de sécurité. Le 26 mai, Microsoft a déclaré que des attaquants avaient utilisé des résultats de recherche empoisonnés et certaines interactions avec des chatbots IA pour diffuser de faux téléchargements d'utilitaires PC qui installaient des malwares de minage GPU. Cette campagne ciblait les utilisateurs de cartes graphiques puissantes, y compris les joueurs et les passionnés de matériel. Microsoft a déclaré que le logiciel malveillant avait abusé de ScreenConnect, des utilitaires Microsoft .NET et de faux téléchargements pour des outils tels que CrystalDiskInfo et HWMonitor afin d'exécuter des mineurs de cryptomonnaies. Le dernier avertissement concernant npm attire l'attention sur les étapes de sécurité fondamentales. Les développeurs devraient auditer les installations de paquets récentes, supprimer les dépendances suspectes, renouveler les informations d'identification exposées et vérifier l'activité des portefeuilles. Les utilisateurs de cryptomonnaies devraient éviter de stocker les phrases de récupération sur des appareils connectés et vérifier chaque transaction de portefeuille avant de la signer.