Selon Socket (blog de recherche), l’équipe Threat Research a identifié une attaque coordonnée de la chaîne d’approvisionnement via quatre paquets npm se faisant passer pour des utilitaires crypto et Flashbots, visant les développeurs Web3, les chercheurs MEV et les opérateurs DeFi, avec un risque de pertes financières immédiates et irréversibles.

— Détails clés —

  • Type d’attaque : supply chain sur l’écosystème npm avec usurpation d’outils légitimes (crypto/Flashbots).
  • Cible : développeurs Web3, MEV searchers, opérateurs DeFi.
  • Impact : vol d’identifiants et de clés privées de portefeuilles, exfiltrés vers une infrastructure Telegram contrôlée par l’attaquant.

— Vecteurs et techniques —

  • Moisson d’variables d’environnement ciblant: PRIVATE_KEY_EXECUTOR et PRIVATE_KEY_SPONSOR.
  • Détournement de destinataire dans des transactions non signées.
  • Exfiltration automatique d’identifiants dès l’instanciation de classes.
  • Vol de mnémoniques via des fonctions dédiées.

— Command and Control (C2) et évasion —

  • Tous les paquets utilisent le même bot Telegram pour le C2 avec des tokens encodés en Base64 et des commentaires en vietnamien suggérant une attribution possible.
  • Le code malveillant reste compatible avec les API légitimes pour se fondre dans l’usage normal, et transmet silencieusement les données volées via des requêtes HTTPS POST vers l’API sendMessage de Telegram.
  • Techniques d’évasion : implémentations bi-langages, obfuscation Base64, rembourrage par code légitime.

— IOCs et TTPs —

  • IOC:
    • Bot Telegram ID: 8083151136
  • TTPs:
    • Chaîne d’approvisionnement npm, harvesting d’ENV, credential exfiltration, transaction hijacking, mnemonic theft, Telegram C2, HTTPS POST vers API Telegram, obfuscation Base64, compatibilité API légitime.

Type d’article: analyse de menace visant à documenter des paquets npm malveillants ciblant l’écosystème Web3 et leurs techniques d’exfiltration.

🧠 TTPs et IOCs détectés

TTPs

Chaîne d’approvisionnement npm, harvesting d’ENV, credential exfiltration, transaction hijacking, mnemonic theft, Telegram C2, HTTPS POST vers API Telegram, obfuscation Base64, compatibilité API légitime

IOCs

Bot Telegram ID: 8083151136

🔗 Source originale : https://socket.dev/blog/malicious-npm-packages-impersonate-flashbots-sdks-targeting-ethereum-wallet-credentials