Une nouvelle menace frappe les développeurs Web3 : des packages malveillants sur npm ciblent les portefeuilles Ethereum et volent discrètement des clés privées. En se faisant passer pour des outils liés à Flashbots et au traitement du Maximal Extractable Value (MEV), ces bibliothèques compromettent la chaîne d’approvisionnement logicielle. Si vous êtes développeur Ethereum ou utilisateur de bibliothèques npm, ce type d’attaque pourrait exposer vos fonds sans que vous ne vous en rendiez compte.
Des bibliothèques npm malveillantes ciblent Flashbots et dérobent des clés
Des noms trompeurs pour gagner la confiance des développeurs
Des cybercriminels ont publié quatre packages malveillants dans le registre npm en se faisant passer pour des outils légitimes liés à Flashbots, un acteur de confiance dans la lutte contre les attaques MEV sur Ethereum. Ces bibliothèques se présentent comme des utilitaires cryptographiques standards, masquant des fonctions de vol de données sensibles.
Les quatre packages actuellement en ligne sont :
- @flashbotts/ethers-provider-bundle – 52 téléchargements
- flashbot-sdk-eth – 467 téléchargements
- sdk-ethers – 90 téléchargements
- gram-utilz – 83 téléchargements
Ils ont été mis en ligne par un utilisateur nommé « flashbotts », le plus ancien datant de septembre 2023. Le dernier en date a été publié le 19 août 2025. Leur stratégie repose sur la confiance que la communauté Ethereum accorde aux bibliothèques liées à Flashbots. En effet, de nombreux développements DeFi, bots de trading et portefeuilles chauds intègrent des SDK similaires pour optimiser leur intégration réseau.
Un vol de données camouflé dans du code légitime
La bibliothèque @flashbotts/ethers-provider-bundle est la plus dangereuse. Elle simule une compatibilité totale avec l’API Flashbots, tout en intégrant des fonctions clandestines pour exfiltrer des variables d’environnement via SMTP vers des serveurs de type Mailtrap. Elle redirige également toutes les transactions non signées vers un portefeuille sous contrôle de l’attaquant, et enregistre les métadonnées des transactions présignées.
flashbot-sdk-eth fonctionne sur le même principe. Il vole les clés privées Ethereum dès qu’un développeur l’intègre dans un projet. La bibliothèque sdk-ethers, bien que semblant inoffensive, contient deux fonctions furtives qui transmettent des phrases mnémoniques à un bot Telegram, activées uniquement lors de leur appel explicite.
Un vol ciblé de phrases mnémoniques et données sensibles
Des informations confidentielles envoyées à Telegram
Le package gram-utilz complète ce puzzle malveillant. Il offre aux attaquants une méthode modulaire pour exfiltrer n’importe quelle donnée sensible vers une conversation Telegram qu’ils contrôlent. Cela permet un espionnage souple des projets de développement Web3, surtout lorsque ceux-ci s’exécutent sur des environnements peu cloisonnés.
Les phrases mnémoniques Ethereum sont l’équivalent de la clé maîtresse d’un portefeuille. Lorsqu’un attaquant les obtient, il s’approprie le portefeuille complet de la victime. Dans ce genre de scénarios, les pertes sont immédiates et irréversibles.
Une campagne aux origines probablement vietnamiennes
Des commentaires dans le code source laissent penser que les auteurs de ces paquets sont vietnamophones. Leur objectif semble purement financier. En intégrant un code malveillant noyé dans des fonctionnalités ordinaires, ils cherchent à détourner la vigilance des développeurs et des systèmes d’analyse traditionnellement focalisés sur des comportements manifestes.
Ce genre de méthode est une excellente illustration des menaces expliquées dans notre livre pour hacker. Apprendre à hacker, c’est aussi comprendre comment ces attaques par chaîne logicielle fonctionnent, et comment s’en prémunir par une analyse du code et du comportement réseau.
Vers un développement Web3 plus sécurisé
Exploitation de la confiance et contournement des scans de sécurité
Les attaquants misent sur une stratégie redoutable : utiliser des noms familiers et modifier subtilement le comportement d’outils qui semblent fiables. Les développeurs qui ne vérifient pas manuellement chaque dépendance peuvent ainsi, sans le savoir, transformer une intégration banale en fuite de données.
Comme le souligne le chercheur Kush Pandya : « Un SDK qui semble officiel a de fortes chances d’être adopté par des opérateurs de bots ou des développeurs DeFi. Une clé privée compromise dans cet environnement mène à une perte immédiate et irréversible. »
Cette campagne montre à quel point les attaquants comprennent les dynamiques de développement Web3. En détournant des noms de bibliothèques connus et en dissimulant leur code dans des fonctions anodines, ils exploitent le rythme rapide des projets et la confiance implicite dans les dépendances open source pour compromettre les systèmes à grande échelle.
Face à ces menaces, CyberCare propose des services de cybersécurité spécialisés pour protéger vos environnements de développement et prévenir les attaques via la chaîne d’approvisionnement logicielle.
