Un paquet npm malveillant se faisait passer pour Nodemailer afin d’infiltrer des applications desktop sous Windows. L’objectif final : détourner des transferts crypto depuis Atomic Wallet et Exodus, via une attaque de chaîne d’approvisionnement sophistiquée.
Comment l’attaque fonctionnait
Baptisé « nodejs-smtp », le paquet usurpait l’identité de Nodemailer en copiant slogan, styles et README pour convaincre les développeurs. Selon l’enquête, il totalisait quelques centaines de téléchargements depuis avril 2025, avant d’être retiré du registre. Ainsi, la distribution est restée discrète mais ciblée.
À l’import, le code malveillant profitait d’outils Electron pour décompresser l’archive app.asard’Atomic/Exodus, remplacer un bundle vendeur par une charge vérolée, puis recompresser et effacer ses traces.
En effet, cette approche permettait de persister sur la machine et d’agir comme un « clipper » qui remplaçait l’adresse de destination par une adresse contrôlée par l’attaquant. Les transferts BTC, ETH, USDT (incluant TRX USDT), XRP et SOL étaient concernés.
Pour brouiller les pistes, nodejs-smtp gardait une fonctionnalité mailer opérationnelle, interface « drop-in » compatible Nodemailer. Cependant, ce camouflage réduisait la suspicion lors des tests applicatifs, ce qui augmentait le risque d’intégration en production.
Pourquoi le ciblage des wallets est critique
Les transactions sur Bitcoin et autres grandes capitalisations représentent des montants élevés et des flux constants ; des outils listant les cours comme CoinMarketCap montrent la place centrale de BTC dans la liquidité crypto, ce qui rend le détournement d’adresse particulièrement lucratif pour les attaquants.
Par ailleurs, ce cas s’inscrit dans une série d’attaques npm où des packages d’apparence légitime sabotent des projets locaux pour dévier des fonds. Un billet de Socket.dev détaille comment l’imposteur de Nodemailer « draine » les wallets au moment opportun, illustrant une tendance inquiétante sur les écosystèmes open source.
🚨 A fake npm package just hijacked crypto wallets.
“nodejs-smtp” disguised itself as the legit nodemailer library—while secretly injecting code into Atomic & Exodus apps to steal BTC, ETH, USDT, XRP, and SOL.
Full story → https://t.co/t9qZxAH583
— The Hacker News (@TheHackersNews) September 2, 2025
Les bons réflexes pour développeurs et utilisateurs
D’un côté, les équipes dev doivent bloquer l’exécution à l’install (postinstall), épingler les versions et auditer chaque dépendance ajoutée. Ainsi, la mise en place d’analyses statiques et d’outils dédiés à la détection de comportements anormaux réduit fortement l’attaque de surface. Dès lors, évitez les paquets peu téléchargés ou nouvellement publiés qui « copient » des librairies populaires.
De l’autre, les utilisateurs doivent vérifier minutieusement les adresses avant signature, et préférer une copie depuis un carnet d’adresses vérifié. Notre décryptage Alerte crypto – 1,6 M $ volés cette semaine par “address poisoning” détaille les pièges visuels et explique comment s’en prémunir dans la pratique. Toutefois, rappelez-vous qu’un simple copier-coller depuis l’historique demeure à haut risque.
À surveiller dans les prochains jours
Le retrait du paquet ne supprime pas le risque pour les environnements déjà compromis. Concrètement, un audit des postes Windows de build et de signature d’apps Electron s’impose, avec réinstallation propre des wallets impactés et revues d’intégrité (app.asar).
Enfin, gardez un œil sur les campagnes similaires déjà observées ce printemps, dont un package « pdf-to-office » qui modifiait les apps de la même manière.
Sources
Sur le même sujet
- Alerte crypto – 1,6 M $ volés cette semaine par “address poisoning”
- Airdrops & launchpads : la checklist de la rentrée pour éviter les pièges
- Trésoreries on-chain : comment les lire, les suivre et s’en servir
- Bitcoin Hyper : la nouvelle L2 avec des rendements de jalonnement parmi les plus élevés
- Bitcoin Hyper propulse Bitcoin vers l’avenir grâce au SVM
- $HYPER : des privilèges exclusifs pour les premiers investisseurs
Carte bancaire- Ethereum
- BNB
- Maxi Doge vit à 100x, un memecoin dopé au levier
- FOMO, adrénaline et gains massifs
- Plus musclé que Doge, plus rapide que Shib
- Ethereum
- BNB
- USDT
- +1 more
- Un projet mine-to-earn innovant et unique en son genre
- Recevez jusqu'à 22582% de récompense de staking
- Gagnez des airdrops et des bonus en meme coins pour les meilleurs mineurs
- Carte bancaire
- Ethereum
- USDT
- Un projet ambitieux et maintenant sur Solana
- La vente côté Solana reflète son prix ETH à 1:1, sans hausse de prix pendant la vente
- Un burn d’offre côté Ethereum pour maintenir le plafond total fixe de 200 milliards
- Ethereum
- USDT
- Carte bancaire
- Prévente ouverte et simple : tout le monde peut participer.
- Un token inspiré des plus grands indices financiers.
- Un nombre de tokens qui change jamais.
- Ethereum
- Carte bancaire
- USDT
- Un écosystème de trading complet, directement depuis Telegram.
- Des swaps plus rapides que ceux des bots.
- Les frais les plus bas du marché crypto.
- Carte bancaire
- Solana
- Ethereum
- Frais de transaction réduits au sein de l'écosystème BEST
- Accès exclusif aux premières préventes de jetons et aux nouveaux projets
- Participer à la gouvernance des jetons, en contrôlant la direction du projet
- Ethereum
- BNB
- USDT
- +1 more
- Plateforme premium de nouvelle génération dédiée à la création de contenu par intelligence artificielle
- Une portée mondiale avec plus de 250 millions d’abonnés cumulés
- Des récompenses exclusives pour les créateurs et les utilisateurs impliqués dans le staking
- BNB
- Carte bancaire
- Solana
- +1 more
- Investissez dès maintenant dans la prévente du projet qui va révolutionner les paiements via cryptomonnaies.
- Grâce à Space Pay, payez en cryptomonnaie et assurez-vous que les commerçants reçoivent leurs fonds dans leur propre devise.
- Le tout premier réseau décentralisé de paiement, l'équivalent de VISA et Mastercard dans le monde des cryptos.
- USDT
- Ethereum
Partager
