L'entreprise de cybersécurité Kaspersky a identifié un nouveau cadre malveillant conçu spécifiquement pour vider les portefeuilles de cryptomonnaies. Le vecteur d'attaque repose sur l'ingénierie sociale et des applications trojanisées hébergées sur GitHub.
La campagne, détaillée par Kaspersky dans un rapport publié vendredi, utilise de fausses versions d'outils crypto légitimes. Les victimes sont incitées à télécharger du code malveillant se faisant passer pour des robots de trading, des trackers de portefeuille ou des logiciels de gestion de wallet.
Une fois installé, le cadre peut intercepter les données du presse-papiers – en remplaçant les adresses de portefeuille copiées par des adresses contrôlées par les attaquants – et collecter les clés privées stockées sur l'appareil. Kaspersky précise que le malware est modulaire, permettant à ses opérateurs d'échanger les charges utiles sans reconstruire toute la chaîne d'infection.
« Ce n'est pas l'œuvre d'un simple script kiddie », relève l'équipe de recherche de Kaspersky dans le rapport. « Le cadre montre une planification claire. Les attaquants ciblent un public spécifique : les personnes qui gèrent activement des cryptoactifs et qui sont à l'aise avec l'installation d'outils open source. »
Le malware se propage principalement via des dépôts GitHub qui semblent légitimes. Certains repos ont accumulé des étoiles et des forks, les faisant paraître dignes de confiance. D'autres sont promus via des groupes Telegram et des forums spécialisés en crypto.
GitHub est un canal de distribution populaire pour les logiciels de trading crypto, des intégrations d'agrégateurs DEX aux bots MEV. La dynamique de confiance par défaut de la plateforme joue en faveur des attaquants – un repo avec des commits récents et une documentation réactive peut tromper même des utilisateurs expérimentés.
Kaspersky n'a pas nommé de repos spécifiques ni estimé le nombre total de victimes. L'entreprise conseille aux traders de vérifier l'identité des auteurs de logiciels, de contrôler les signatures numériques et, si possible, d'effectuer les opérations de wallet sur des machines isolées de tout réseau.
Pour les traders qui s'appuient sur des outils tiers, les implications sont limpides : une application compromise peut vider un portefeuille en quelques secondes. Pas d'e-mail de phishing nécessaire, pas de faux site web à revérifier – l'attaquant est déjà à l'intérieur du flux de travail de l'utilisateur.
La conception modulaire du cadre suggère que des variantes futures pourraient cibler la communication avec les portefeuilles matériels ou exploiter les autorisations des extensions de navigateur. Kaspersky indique suivre le malware sous un nom de code interne et s'attend à ce que les opérateurs continuent de perfectionner le code.
Les investisseurs crypto devraient considérer tout téléchargement depuis GitHub comme un risque potentiel. L'approche la plus sûre : open source ne signifie pas sûr. Auditez le code vous-même, exécutez-le d'abord dans un bac à sable, ou tenez-vous-en à des outils bien connus et audités, proposés par des développeurs établis.
Kaspersky repère de fausses apps crypto sur GitHub vidant les wallets
L'entreprise de cybersécurité Kaspersky a identifié un logiciel malveillant diffusé via de fausses versions de robots de trading crypto, de trackers de portefeuille et d'outils de gestion de wallet sur GitHub. Une fois installé, il peut remplacer les adresses de portefeuille copiées par celles des attaquants et dérober des clés privées, mettant ainsi les cryptomonnaies des utilisateurs en danger.