Netcrook Logo
👤 AUDITWOLF
🗓️ 17 Dec 2025  

Vol de crypto dans le code : comment des packages NuGet malveillants ont ciblé les développeurs et leurs portefeuilles

Sous-titre : Une campagne sophistiquée sur NuGet a utilisé des packages ressemblants pour siphonner des cryptomonnaies et des données publicitaires auprès de développeurs du monde entier, sans méfiance.

Pour de nombreux développeurs, ce lundi avait commencé comme les autres - jusqu’à ce qu’un outil de confiance se retourne contre eux. Dans les coulisses du populaire dépôt NuGet, un braquage numérique silencieux était en cours. Des packages apparemment légitimes, affichant des millions de téléchargements et des noms familiers, étaient en réalité des pièges empoisonnés. Les attaquants ? Rusés, persistants et maîtres du déguisement, ils ont utilisé toutes les ficelles du manuel cybercriminel pour voler des cryptomonnaies et des données publicitaires, révélant les dangers cachés qui rôdent dans les outils mêmes sur lesquels les développeurs comptent.

En bref

  • 14 packages malveillants ont été découverts sur NuGet, un dépôt de briques logicielles.
  • Les attaquants ont utilisé des astuces visuelles de “homoglyphes” et de faux compteurs de téléchargements pour imiter des bibliothèques de confiance.
  • Le code malveillant visait les phrases de récupération de cryptomonnaies, les clés privées et les comptes Google Ads.
  • Certaines attaques remplaçaient l’adresse du portefeuille en cours de transaction, détournant ainsi les fonds vers les criminels.
  • Le risque d’infection s’étendait “en aval” à des milliers d’utilisateurs via du code embarqué.

Anatomie d’une arnaque dans le code

L’incident récent sur NuGet, révélé par la société de sécurité ReversingLabs, se lit comme un thriller cybercriminel. Depuis juillet 2025, des hackers ont discrètement semé 14 packages piégés dans le dépôt, chacun conçu pour se fondre parmi les outils populaires des développeurs. La supercherie allait loin : les attaquants ont utilisé des “homoglyphes” - des substitutions subtiles de caractères, comme un ‘е’ cyrillique à la place d’un ‘e’ latin - pour créer des noms de packages presque indiscernables des vrais. ‘Netherеum.All’, par exemple, imitait une célèbre bibliothèque Ethereum avec une seule différence de caractère, presque invisible.

Mais la ruse ne s’arrêtait pas aux noms. Les hackers gonflaient artificiellement les compteurs de téléchargements jusqu’à plusieurs millions et publiaient des mises à jour à la chaîne (“version bumping”) pour imiter l’activité de projets sains et fiables. Résultat ? Même des développeurs expérimentés pouvaient se laisser tromper et intégrer ces packages piégés.

Les charges utiles étaient aussi variées que dangereuses. Neuf packages étaient spécialisés dans le vol des “phrases de récupération” et des clés privées qui déverrouillent les portefeuilles de cryptomonnaies - des informations qui, si elles sont compromises, permettent aux attaquants de vider des comptes entiers. D’autres packages, comme Coinbase.Net.Api, surveillaient les transactions sortantes et, pour tout transfert supérieur à 100 $, remplaçaient discrètement l’adresse du destinataire par celle de l’attaquant, redirigeant ainsi les fonds en temps réel. Parallèlement, le package GoogleAds.API ciblait les jetons OAuth, permettant aux attaquants de détourner des comptes Google Ads et potentiellement d’accumuler des frais frauduleux.

En remontant la piste des auteurs, les chercheurs ont relié plusieurs packages à un alias d’auteur “DamienMcdougal”, un nom déjà associé à d’autres campagnes axées sur le vol. Les attaquants ont fait preuve d’agilité, supprimant certains packages lorsqu’ils étaient sous surveillance et réapparaissant sous de nouveaux alias, un classique jeu du chat et de la souris dans le monde des attaques sur la chaîne d’approvisionnement logicielle.

Effets en cascade : quand la confiance devient une menace

L’aspect peut-être le plus insidieux de cette campagne réside dans son potentiel de dommages collatéraux. Parce que les développeurs intègrent souvent des packages tiers dans leurs propres logiciels, une seule bibliothèque malveillante peut contaminer d’innombrables applications et utilisateurs en aval. L’ouverture et la confiance qui font la force de la communauté des développeurs sont devenues l’arme de prédilection des attaquants.

À mesure que les monnaies numériques gagnent en popularité et en valeur, la sophistication de ceux qui cherchent à les voler augmente aussi. Cet incident le rappelle crûment : dans le monde des chaînes d’approvisionnement logicielles, la confiance est à la fois fondation et talon d’Achille. La vigilance n’est pas une option - elle est essentielle.

WIKICROOK

  • NuGet : NuGet est une plateforme en ligne et un gestionnaire de packages qui permet aux développeurs .NET de partager, télécharger et gérer des bibliothèques de code réutilisables pour leurs projets.
  • Homoglyphe : Les homoglyphes sont des caractères visuellement similaires mais techniquement différents, utilisés dans les cyberattaques pour déguiser des liens, des domaines ou du code malveillant, trompant ainsi les utilisateurs non avertis.
  • Phrase de récupération : Une phrase de récupération est un ensemble de mots qui sert de clé maîtresse à un portefeuille crypto. Toute personne la possédant peut accéder à vos fonds et les contrôler.
  • Jeton OAuth : Un jeton OAuth est une clé numérique qui permet aux applications d’accéder à vos données de façon sécurisée sans avoir à saisir votre mot de passe à chaque fois.
  • Version Bumping : Le version bumping consiste à mettre fréquemment à jour les numéros de version d’un logiciel pour donner l’impression d’activité ou de sécurité, parfois en trompant les utilisateurs sur la réalité des changements ou des mises à jour de sécurité.
Crypto Heist NuGet Packages Cybersecurity
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news