Capitalisation boursière: $2.0821T 2.21%
Volume(24h): $86.0031B 6.90%
  • Capitalisation boursière: $2.0821T 2.21%
  • Volume(24h): $86.0031B 6.90%
  • Indice de peur et de cupidité:
  • Capitalisation boursière: $2.0821T 2.21%
Cryptos
Les sujets
Cryptospedia
Nouvelles
Cryptosopique
Vidéos
Top nouvelles
Cryptos
Les sujets
Cryptospedia
Nouvelles
Cryptosopique
Vidéos
bitcoin
bitcoin

$87959.907984 USD

1.34%

ethereum
ethereum

$2920.497338 USD

3.04%

tether
tether

$0.999775 USD

0.00%

xrp
xrp

$2.237324 USD

8.12%

bnb
bnb

$860.243768 USD

0.90%

solana
solana

$138.089498 USD

5.43%

usd-coin
usd-coin

$0.999807 USD

0.01%

tron
tron

$0.272801 USD

-1.53%

dogecoin
dogecoin

$0.150904 USD

2.96%

cardano
cardano

$0.421635 USD

1.97%

hyperliquid
hyperliquid

$32.152445 USD

2.23%

bitcoin-cash
bitcoin-cash

$533.301069 USD

-1.94%

chainlink
chainlink

$12.953417 USD

2.68%

unus-sed-leo
unus-sed-leo

$9.535951 USD

0.73%

zcash
zcash

$521.483386 USD

-2.87%

Articles d’actualité sur les crypto-monnaies

Attaque de NPM, pirates et violation de données: un cris de crypto a mal tourné?

Sep 10, 2025 at 06:43 am

Plongez dans la récente attaque de crypto NPM: comment les pirates ont compromis des milliards de téléchargements mais sont repartis avec moins de 50 $. Un réveil pour la sécurité de la chaîne d'approvisionnement.

Attaque de NPM, pirates et violation de données: un cris de crypto a mal tourné?

Yo, what's the deal with NPM attacks, hackers, and data breaches? It's like the Wild West out here in the JavaScript ecosystem. The latest buzz? A massive NPM crypto attack. Let's break it down, New York style.

Yo, quel est le problème avec les attaques de NPM, les pirates et les violations de données? C'est comme le Far West ici dans l'écosystème JavaScript. Le dernier buzz? Une énorme attaque de crypto NPM. Faisons-le, le style de New York.

The Great NPM Crypto Caper: A Heist That Fizzled

Le grand NPM Crypto Caper: un casse qui grognon

So, picture this: Hackers pull off what's being called the largest NPM crypto attack in history. They infiltrated 18 JavaScript packages, impacting billions of downloads. Sounds like a scene from "Mr. Robot," right? But here's the kicker: they stole less than $50. Seriously?

Alors, imaginez ceci: les pirates réalisent ce que l'on appelle la plus grande attaque de crypto NPM de l'histoire. Ils ont infiltré 18 packages JavaScript, ce qui concerne des milliards de téléchargements. Cela ressemble à une scène de "M. Robot", non? Mais voici le botteur: ils ont volé moins de 50 $. Sérieusement?

It all went down when a well-known developer, “qix” (aka Josh Junon), got hit with a phishing email disguised as an official npmjs.com support message. This email tricked him into updating his two-factor authentication, handing the keys to the kingdom (or, in this case, the NPM account) to the bad guys.

Tout est passé lorsqu'un développeur bien connu, «Qix» (alias Josh Junon), a été frappé par un e-mail de phishing déguisé en message officiel de support NPMJS.COM. Cet e-mail l'a amené à mettre à jour son authentification à deux facteurs, remettant les clés du royaume (ou, dans ce cas, le compte NPM) aux méchants.

How They Did It (and Why It Didn't Pay Off)

Comment ils l'ont fait (et pourquoi cela n'a pas payé)

Once inside, the attackers injected malware into popular libraries like chalk, strip-ansi, and debug. These packages are downloaded billions of times a week. The malware acted as a crypto-clipper, monitoring Ethereum, Bitcoin, Solana, Tron, Litecoin, and Bitcoin Cash wallet addresses. When a transaction started, it swapped the destination address with one controlled by the attacker.

Une fois à l'intérieur, les attaquants ont injecté des logiciels malveillants dans des bibliothèques populaires comme Chalk, Strip-Anssi et Debug. Ces packages sont téléchargés des milliards de fois par semaine. Le logiciel malveillant a agi comme une crypto-éclaper, surveillant les adresses de portefeuille en espèces et bitcoin, Solana, Tron, Litecoin et Bitcoin. Lorsqu'une transaction a commencé, il a échangé l'adresse de destination avec un contrôlé par l'attaquant.

But here's where the story takes a turn. According to Security Alliance, the hacker's Ethereum address (0xFc4a48) received less than $50 in assets. Initial reports showed a measly five cents in Ether, later joined by about $20 of some random memecoin. Either the malware didn't spread far enough, or users caught on quick and shut it down.

Mais c'est là que l'histoire prend un tour. Selon Security Alliance, l'adresse Ethereum du pirate (0xfc4a48) a reçu moins de 50 $ d'actifs. Les rapports initiaux ont montré un maigre cinq cents d'éther, rejoint plus tard par environ 20 $ de memecoin aléatoire. Soit le malware ne s'est pas répandu assez loin, soit des utilisateurs ont pris rapidement et le ferment.

Why This Matters (Even Though They Stole Pennies)

Pourquoi cela compte (même s'ils ont volé des sous)

Even though the financial impact was minimal, this incident shines a spotlight on the ever-present risks of supply chain attacks. Developers who never directly installed the compromised packages could still be exposed because these libraries sit deep in dependency trees.

Même si l'impact financier était minime, cet incident met en lumière les risques toujours présents d'attaques de la chaîne d'approvisionnement. Les développeurs qui n'installaient jamais directement les packages compromis pourraient encore être exposés car ces bibliothèques sont profondes dans les arbres de dépendance.

Charles Guillemet, CTO of Ledger, is urging developers to be cautious and double-check wallet addresses. Crypto apps like Phantom Wallet and Uniswap dodged the bullet, and MetaMask reassured users about their defenses. MetaMask uses multiple layers of defense, including locking code versions and automated checks, to block malicious code.

Charles Guillemet, CTO de Ledger, exhorte les développeurs à être des adresses de portefeuille prudentes et à double vérification. Des applications cryptographiques comme Phantom Wallet et uniswap ont esquivé la balle, et Metamask a rassuré les utilisateurs de leurs défenses. Metamask utilise plusieurs couches de défense, y compris les versions de code de verrouillage et les vérifications automatisées, pour bloquer le code malveillant.

The Technical Nitty-Gritty

Le Nitty-Gritty technique

The injected code hooked into JavaScript functions like fetch, XMLHttpRequest, and wallet APIs. It intercepted crypto activity in the browser, manipulated wallet interactions, and rewrote payment destinations. This made it dangerous because it tampered with both the content users saw and the API calls being made.

Le code injecté accroché aux fonctions JavaScript comme Fetch, XMLHttpRequest et Wallet API. Il a intercepté l'activité cryptographique dans le navigateur, manipulé les interactions de portefeuille et réécrit les destinations de paiement. Cela le rendait dangereux car il a falsifié les deux contenus que les utilisateurs ont vu et les appels d'API.

Aikido Security noted that the malware only affected users who updated the packages during the brief compromise window. This limited the reach, but it's still a wake-up call.

Aikido Security a noté que les logiciels malveillants n'avaient affecté que les utilisateurs qui ont mis à jour les packages pendant la brève fenêtre de compromis. Cela a limité la portée, mais c'est toujours un réveil.

Lessons Learned: Keep Your Guard Up

Leçons apprises: gardez votre garde

This whole mess underscores the need for stronger security practices. Two-factor authentication is a must, but phishing emails are getting sophisticated. Always verify wallet addresses before sending funds and use wallets with built-in security layers like MetaMask and Ledger.

Tout ce désordre souligne la nécessité de pratiques de sécurité plus fortes. L'authentification à deux facteurs est un must, mais les e-mails de phishing deviennent sophistiqués. Vérifiez toujours les adresses de portefeuille avant d'envoyer des fonds et d'utiliser des portefeuilles avec des couches de sécurité intégrées comme Metamask et Ledger.

Security firms recommend developers pin dependency versions in their projects and use automated scanning tools to catch unexpected library changes. Staying vigilant is key.

Les entreprises de sécurité recommandent aux développeurs des versions de dépendance à PIN dans leurs projets et utilisent des outils de numérisation automatisés pour attraper des modifications de bibliothèque inattendues. Rester vigilant est la clé.

Final Thoughts: A Crypto Comedy of Errors

Réflexions finales: une comédie cryptographique d'erreurs

So, yeah, hackers tried to pull off a massive crypto heist and ended up with pocket change. It's almost comical. But let's not get complacent. This NPM attack is a reminder that even the most secure systems can be vulnerable. Stay sharp, double-check those addresses, and maybe invest in a good spam filter. And remember, in the world of crypto and coding, a little paranoia goes a long way. Stay safe out there!

Donc, oui, les pirates ont essayé de retirer un massif de crypto et se sont retrouvés avec un changement de poche. C'est presque comique. Mais ne soyons pas complaisants. Cette attaque NPM est un rappel que même les systèmes les plus sécurisés peuvent être vulnérables. Restez vif, revérifiez ces adresses et investissez peut-être dans un bon filtre de spam. Et rappelez-vous, dans le monde de la crypto et du codage, une petite paranoïa va très loin. Restez en sécurité là-bas!

Source primaire:livebitcoinnews

Clause de non-responsabilité:info@kdj.com

Les informations fournies ne constituent pas des conseils commerciaux. kdj.com n’assume aucune responsabilité pour les investissements effectués sur la base des informations fournies dans cet article. Les crypto-monnaies sont très volatiles et il est fortement recommandé d’investir avec prudence après une recherche approfondie!

Si vous pensez que le contenu utilisé sur ce site Web porte atteinte à vos droits d’auteur, veuillez nous contacter immédiatement (info@kdj.com) et nous le supprimerons dans les plus brefs délais.

Autres articles publiés sur Jul 03, 2026