Actifs
Dépôt de cryptos
Acheter Crypto
Convertir
Transfert
Retrait
Mes coupons
Historique du fonds
Dashboard
Sécurité du compte
Vérification d'identité
Gestion des API
Rapport de la transaction
Déconnexion
inscrire
BTCC / BTCC Square / CryptopolitanFR /
Alerte sécurité : Des paquets npm Bitcoin malveillants ont propagé le malware NodeCordRAT avant leur suppression

Alerte sécurité : Des paquets npm Bitcoin malveillants ont propagé le malware NodeCordRAT avant leur suppression

Author:
CryptopolitanFR
Published:
2026-01-08 15:32:06
10
1

La confiance aveugle dans les dépendances open-source vient de prendre un coup. Un ensemble de paquets npm, se faisant passer pour des outils légitimes liés au Bitcoin, a servi de cheval de Troie pour diffuser le malware NodeCordRAT. Les développeurs peu méfiants qui les ont intégrés ont involontairement ouvert une porte dérobée sur leurs systèmes.

Le Modus Operandi d'un Attaquant

La tactique était classique mais efficace : usurper l'identité de bibliothèques populaires. Ces paquets malveillants, une fois installés, exécutaient un script obfusqué qui téléchargeait et installait le Remote Access Trojan (RAT). Le contrôle était alors total pour l'attaquant : accès au système de fichiers, capture de frappe, exécution de commandes à distance. Une brèche de sécurité parfaite, emballée dans une dépendance apparemment inoffensive.

L'Écosystème en Question

Cet incident met en lumière la fragilité intrinsèque de la chaîne d'approvisionnement logicielle moderne. Des milliers de projets reposent sur des paquets tiers, souvent sans audit approfondi. L'épisode Bitcoin npm n'est pas un cas isolé, mais un rappel brutal que la commodité a un prix. Une seule dépendance compromise peut contaminer toute une infrastructure.

La Réaction et les Mesures Correctives

Les mainteneurs de npm ont finalement agi et supprimé les paquets incriminés. Trop tard pour certaines victimes. La communauté est désormais en alerte, scrutant les dépôts à la recherche de clones malveillants. Les recommandations pleuvent : vérifier les signatures, auditer le code source, limiter les privilèges d'exécution. Des paroles souvent oubliées dans la course au déploiement.

Un coût caché pour l'innovation—parfois, la quête de la décentralisation financière passe par la centralisation des risques dans votre terminal. La prochaine dépendance que vous installerez pourrait bien être votre dernier trade.

NodeCordRAT est équipé pour voler lesdentGoogle Chrome

Les analystes de Zscaler ThreatLabz ontdentce trio en novembre lors d'une analyse du registre npm à la recherche de paquets suspects et de schémas de téléchargement inhabituels. NodeCordRAT représente une nouvelle famille de logiciels malveillants qui exploite les serveurs Discord pour la communication de commande et de contrôle (C2).

NodeCordRAT a été conçu pour voler les identifiants de connexion Google Chrome, les codes API stockés dans les fichiers .env et les données du portefeuille MetaMask, telles que les clés privées et les phrases de récupération. L'auteur de la diffusion des trois paquets malveillants utilisait l'adresse e-mail [email protected].

La chaîne d'attaque commence lorsque des développeurs installent sans le savoir bitcoin-main-lib ou bitcoin-lib-js depuis npm. Ensuite, ledentrepère le chemin du paquet bip40 et le lance en mode détaché à l'aide de PM2.

Déroulement de l'attaque. Source : Zscaler ThreatLabz

Le logiciel malveillant génère undentunique pour les machines compromises en utilisant le format platform-uuid, tel que win32-c5a3f1b4. Il y parvient entracles UUID système via des commandes comme wmic csproduct get UUID sous Windows ou en lisant /etc/machine-id sur les systèmes Linux.

Paquets de nœuds malveillants à l'origine de vols de cryptomonnaies

Trust Wallet a déclaré que le vol de près de 8,5 millions de dollars était lié à une attaque contre la chaîne d'approvisionnement de l'écosystème npm par « Sha1-Hulud NPM ». Plus de 2 500 portefeuilles ont été touchés.

Des pirates ont utilisé une version compromise de npm comme cheval de Troie de type NodeCordRAT et comme logiciel malveillant ciblant la chaîne d'approvisionnement. Ce logiciel malveillant a été intégré au code côté client et a permis de dérober de l'argent aux clients lorsqu'ils accédaient à leurs portefeuilles numériques.

Parmi les autres exemples de 2025, qui s'apparentent à la menace de type NodeCordRAT, figure l'exploitation de la faille Force Bridge, survenue entre mai et juin 2025. Des attaquants ont dérobé soit le logiciel, soit les clés privées utilisées par les nœuds validateurs pour autoriser les retraits inter-chaînes. Ces nœuds sont ainsi devenus des acteurs malveillants capables d'approuver des transactions frauduleuses.

Cette faille de sécurité a entraîné le vol d'actifs estimés à 3,6 millions de dollars, notamment en ETH, USDC, usdt et autres jetons. Elle a également contraint la plateforme à interrompre ses opérations et à procéder à des audits.

En septembre, la shib arium a été découverte, permettant à des attaquants de prendre le contrôle de la majeure partie de la puissance des validateurs pendant une courte période. Comme l' Cryptopolitan, cela leur a permis d'agir comme de faux nœuds validateurs, de valider des retraits illégaux et de s'emparer d'environ 2,8 millions de dollars en SHIB , ETH et BONE.

de trading crypto premium pendant 30 jours - normalement 100 $/mois.

|Square

Obtenez l'application BTCC pour commencer votre expérience avec les cryptomonnaies

Download on the App Store GEI IT ON Google Play

Commencer aujourd'hui Scannez pour rejoindre nos + de 100 millions d’utilisateurs

Exchange for a better future

Produits
Services
Guides
À propos de nous
Conditions et accord
Service client

Avertissement concernant les risques : Le trading d’actifs numériques est une industrie émergente avec de belles perspectives, mais elle comporte également d’énormes risques car il s’agit d’un nouveau marché. Les risques sont particulièrement élevés dans le trading à effet de levier, car l’effet de levier amplifie les profits et amplifie en même temps les risques. Veuillez vous assurer d'avoir une très bonne compréhension du secteur, des modèles de trading à effet de levier et des règles de trading avant d'ouvrir une position. De plus, nous vous recommandons fortement d’identifier votre tolérance au risque et d’accepter uniquement les risques que vous êtes prêt à prendre. Tout trading comporte des risques, vous devez donc être prudent lorsque vous entrez sur le marché.

L'échange de cryptomonnaies le plus ancien au monde depuis 2011 © 2011 - 2026 BTCC.com. All rights reserved

Avertissement : Les articles reproduits sur ce site proviennent de réseaux publics et sont partagés dans le seul but de transmettre des informations sectorielles, sans représenter une position officielle de BTCC. Les droits de création reviennent à leurs auteurs respectifs. Si vous constatez des violations de droits d’auteur ou de contenu litigieux, veuillez nous contacter à [email protected] pour que nous puissions traiter la demande conformément à la loi. BTCC ne garantit pas l'exactitude, l'actualité ou l'exhaustivité des informations reproduites et décline toute responsabilité, explicite ou implicite, découlant de l'utilisation de ces informations. Tous les contenus sont fournis à titre de référence pour la recherche sectorielle et ne constituent en aucun cas une suggestion d'investissement, de décision juridique ou commerciale. BTCC ne saurait être tenu responsable des actes entrepris sur la base de ces informations.