Une quarantaine de protocoles de l’écosystème crypto ont potentiellement été infectés par un logiciel malveillant. Identifié par un chercheur en sécurité informatique, ce logiciel devait permettre de collecter des informations sensibles sur les utilisateurs.
Fin septembre 2022, Maciej Mensfeld, chercheur en sécurité informatique chez Mend, une entreprise spécialisée dans l’analyse de logiciels open source, a découvert des éléments malveillants dans le code de plusieurs paquets npm (Multiple npm package). Il s’agit d’un gestionnaire de paquets par défaut pour JavaScript Node.js.
☠️ [PLEASE SHARE] If you use @dydx
@npmjs packages, DO NOT update them to the latest versions as they were compromised: https://t.co/TDjBIQxwLihttps://t.co/9R3vRLJTU3They exfiltrate credentials and steal sensitive data!#javascript #supplychain #cybersecurity #opensource pic.twitter.com/TDtrylumMK
— Maciej Mensfeld (@maciejmensfeld) September 23, 2022
Apparemment, ces paquets ont été mis en ligne sur Github par un employé de dYdX, une importante plate-forme d’échange de cryptomonnaies. Ils ont été mis à disposition gratuitement pour tous les internautes. dYdX fait partie des principaux protocoles d’échange décentralisés basés sur la blockchain Ethereum. Le service enregistre 1 milliard de dollars de transactions quotidiennes.
Après enquête, Maciej Mensfeld a découvert que l’un de ces paquets npm était présent dans le référentiel Github de 44 plates-formes et services de la finance décentralisée. En clair, il a potentiellement été utilisé par 44 entités de l’écosystème des cryptomonnaies. Parmi les plates-formes concernées, on trouve des protocoles décentralisés basés sur la blockchain, comme MetaSwap, kollateral, Blockchain Store ou encore Stakeverse, une plate-forme de staking.
À lire aussi : des hackers ont exploité la faille d’un outil Ethereum pour voler 160 millions de dollars en cryptomonnaies
Vol de données sensibles
Selon l’expert en sécurité informatique, le code malveillant injecté dans le paquet npm a été conçu pour voler les données personnelles des utilisateurs. Une fois déployé, le code va automatiquement extraire les informations d’identification des usagers pour les transférer vers une adresse IP étrangère. Avec ces données sensibles, un attaquant est potentiellement capable de prendre le contrôle d’un compte sur une plate-forme destinée aux cryptomonnaies. C’est d’autant plus inquiétant quand on songe que dYdX collecte depuis quelques semaines le scan du visage de ses usagers dans le cadre de son processus de vérification d’identité. Ces données très sensibles auraient potentiellement pu tomber entre les mains des hackers.
Pour les experts de Mend, il s’agit clairement d’une attaque de la chaîne logistique (supply chain attack). Concrètement, les assaillants ont infecté un élément de la chaîne d’approvisionnement logiciel pour « accéder aux systèmes de développement de l’entreprise », explique Mend dans un billet de blog.
« Bien que nous ne puissions pas le confirmer complètement, il semble qu’ils aient été en mesure d’utiliser un compte npm volé acquis lors d’une attaque différente, ou en effectuant une prise de contrôle de compte », théorise la firme.
Les chercheurs de Mend affirment que les attaquants ont inséré le code malveillant de « la manière la plus discrète possible, en mettant à jour uniquement les versions mineures pour chaque paquet ». Cette astuce a permis aux pirates d’opérer sans se faire repérer. Sans surprise, Mend estime que l’attaque est liée à l’activité de dYdX, les cryptomonnaies. On imagine que l’opération visait à détourner des crypto-actifs de la plate-forme.
Un correctif déployé dans l’urgence
Maciej Mensfeld est promptement entré en contact avec les équipes de dYdX et de npm. Les versions malveillantes des paquets ont été retirées dans la foulée. Sur son compte Twitter, dYdX a publié un communiqué afin de rassurer ses utilisateurs. L’exchange précise qu’un correctif a été déployé dans l’urgence :
« Tous les fonds sont en sécurité. Nos sites Web/applications n’ont PAS été compromis. L’attaque n’a PAS eu d’impact sur les contrats intelligents ».
Reminder that dYdX does not have custody of user funds, which are deposited directly to a smart contract on the blockchain.
— dYdX (@dYdX) September 23, 2022
Les contrats intelligents (smart-contracts) sont des programmes informatiques automatisés qui exécutent des actions sur la blockchain. Ces protocoles sont au cœur du fonctionnement des services d’échange décentralisés. Ce sont eux qui gèrent les cryptomonnaies déposées par les usagers. Comme le rappelle dYdX, la plate-forme « n’a pas la garde des fonds des utilisateurs, qui sont déposés directement dans un contrat intelligent sur la blockchain ». Sur ce point, un exchange décentralisé comme dYdX diffère d’une infrastructure centralisée telle que Binance, Coinbase ou encore Crypto.com. C’est pourquoi la sécurité des contrats intelligents est essentielle.
Source :
Mend