Le CTO de Ledger avertit d'une attaque à grande échelle sur la chaîne d'approvisionnement NPM ; exhorte à vérifier les adresses

‘Potentiellement toutes les chaînes’ : Le CTO de Ledger met en garde après le piratage d’un compte développeur NPM

Ledger‘s Guillemet a déclaré sur X qu’un compte NPM d’un développeur réputé avait été compromis et que les packages affectés ont été téléchargés plus d’un milliard de fois, ce qui soulève des préoccupations pour les développeurs.

« Il y a une attaque à grande échelle sur la chaîne d’approvisionnement en cours… l’ensemble de l’écosystème JavaScript pourrait être en danger », a-t-il écrit sur X, ajoutant que le code malveillant « échange silencieusement les adresses crypto à la volée pour voler des fonds. »

Il a conseillé aux personnes qui n’utilisent pas de portefeuille matériel de s’abstenir pour le moment de faire des transactions onchain, et a exhorté tous les utilisateurs à vérifier les détails des transactions avant de signer. Il a dit qu’il n’est pas clair si l’attaquant vole les phrases de semences depuis des portefeuilles logiciels.

« Pour les utilisateurs de Ledger ou d’autres portefeuilles matériels avec une signature claire, vous n’êtes pas en danger », a ajouté Guillemet, soulignant que la signature claire et la vérification manuelle protègent contre les logiciels malveillants d’échange d’adresses.

Des sites de sécurité distincts ont également signalé des compromissions de comptes NPM en cours affectant des packages largement utilisés, certains décrivant la campagne comme l’une des plus importantes de ce genre à ce jour. Guillemet a déclaré que l’impact pourrait s’étendre « potentiellement à toutes les chaînes. »