Un grand développeur NPM, QIX, a fait compromettre leur compte. Il a été utilisé pour pousser des logiciels malveillants qui ciblent et recherche des portefeuilles Bitcoin et Crypto-monnaie sur les appareils d’utilisateurs. Si elle est détectée, le logiciel malveillant patcherait les fonctions de code utilisées pour coordonner la signature des transactions et remplacerait l’adresse à laquelle un utilisateur essaie d’envoyer de l’argent avec l’une des propres adresses du Créateur de malware.
Cela devrait surtout être une préoccupation pour les utilisateurs de portefeuilles Web, donc dans les ordinales de l’écosystème Bitcoin ou les runes / autres utilisateurs de jetons, à moins qu’une mise à jour de votre portefeuille logiciel normal ne soit poussée juste plus tôt dans la journée avec la dépendance compromise, ou si votre portefeuille charge dynamiquement directement à partir du portefeuille en contournant le magasin d’application, vous devez vous bien.
NPM est un gestionnaire de packages pour Node.js, un framework JavaScript populaire. Cela signifie qu’il est utilisé pour saisir de grands ensembles de code pré-écrit utilisés pour que les fonctionnalités communes soient intégrées dans différents programmes sans que le développeur ait à réécrire eux-mêmes les fonctions de base.
Les packages ciblés n’étaient pas spécifiques à la crypto-monnaie, mais les packages utilisés par d’innombrables nombres d’applications normales construits avec Node.js, pas seulement des portefeuilles de crypto-monnaie.
Si vous utilisez un portefeuille matériel en combinaison avec votre portefeuille Web, prenez des soins supplémentaires à vérifier sur l’appareil lui-même que l’adresse de destination que vous envoyez également est correcte avant de signer quoi que ce soit.
Si vous utilisez des touches logicielles dans le portefeuille Web lui-même, il serait conseillé de ne pas les ouvrir ou de transformer jusqu’à ce que vous soyez certain que vous n’exécutez pas une version vulnérable du portefeuille. Le plan d’action le plus sûr serait d’attendre une annonce de l’équipe développant le portefeuille que vous utilisez.