🚹 npm malveillant piĂ©gĂ© : quand nodejs-smtp se fait passer pour Nodemailer et cible vos wallets crypto

đŸ§© Une librairie npm qui n’en est pas une

Il y a des jours oĂč l’on regrette presque d’aimer l’open source.
Les chercheurs en cybersĂ©curitĂ© viennent de dĂ©busquer un nouveau paquet npm malveillant : nodejs-smtp.

DerriĂšre ce nom Ă  l’apparence lĂ©gitime se cache en rĂ©alitĂ© une copie trompeuse de la librairie bien connue nodemailer, indispensable pour envoyer des emails dans les projets Node.js.

La manƓuvre est simple et redoutablement efficace :

  • MĂȘme tagline que le projet officiel.
  • Page npm mimant fidĂšlement l’original.
  • README copiĂ©-collĂ© pour inspirer confiance.

RĂ©sultat : plus de 347 tĂ©lĂ©chargements avant que l’arnaque ne soit repĂ©rĂ©e. 347 dĂ©veloppeurs qui pensaient installer un outil fiable
 et qui ont importĂ© du code toxique.

🎯 La cible : vos wallets crypto

Mais la finalitĂ© ne s’arrĂȘte pas Ă  un petit troll.
Le package embarquait des scripts furtifs conçus pour injecter du code malveillant dans des applications desktop Windows.

Objectif : voler les donnĂ©es sensibles des portefeuilles de cryptomonnaies.
Deux victimes privilégiées :

  • Atomic Wallet – rĂ©guliĂšrement ciblĂ© par des campagnes de piratage.
  • Exodus Wallet – populaire pour sa simplicitĂ© et donc attractif pour les cybercriminels.

Une fois installĂ©, nodejs-smtp tentait d’intercepter ou d’altĂ©rer certains processus internes des apps, ouvrant la porte au pillage des clĂ©s privĂ©es et des fonds.

đŸ•”ïž DĂ©cryptage technique : comment ça marche ?

En fouillant le code de nodejs-smtp, les analystes ont trouvĂ© plusieurs techniques intĂ©ressantes (ou terrifiantes, selon le point de vue) :

  1. Scripts d’installation dĂ©tournĂ©s
    Lors du npm install, un script postinstall dĂ©clenchait un tĂ©lĂ©chargement depuis un serveur tiers. Un grand classique pour ramener du code externe non vĂ©rifiĂ©."scripts": { "postinstall": "node install.js" } DerriĂšre, install.js rĂ©cupĂ©rait discrĂštement un binaire et l’injectait dans le systĂšme de l’utilisateur.
  2. Injection dans Electron / apps desktop
    Le malware scannait les rĂ©pertoires connus (AppData/Roaming) pour y chercher les installations d’Atomic ou Exodus.
    DĂšs qu’il en trouvait, il modifiait les fichiers de configuration ou insĂ©rait du code JavaScript dans les modules Electron.
  3. Exfiltration silencieuse
    Les donnĂ©es (mots de passe, seeds, clĂ©s privĂ©es) Ă©taient ensuite chiffrĂ©es basiquement et envoyĂ©es vers un serveur command & control via HTTPS, rendant le trafic difficile Ă  distinguer d’une communication normale.

Bref : une supply chain attack taillĂ©e sur mesure pour siphonner vos cryptos.

đŸ› ïž La supply chain en ligne de mire

Ce n’est pas un cas isolĂ©. L’écosystĂšme npm est devenu une vĂ©ritable jungle :

  • En 2022, un paquet piĂ©gé ua-parser-js avait infectĂ© des milliers de projets.
  • En 2023, colors et faker.js avaient provoquĂ© la panique en intĂ©grant volontairement du code perturbateur.
  • Aujourd’hui, c’est nodejs-smtp qui tente sa chance.

Pourquoi ça marche ? Parce que la supply chain logicielle repose sur la confiance aveugle. On installe des dĂ©pendances comme on achĂšte du pain : vite, sans vĂ©rifier l’étiquette.

Mais dans l’open source, le boulanger peut ĂȘtre un cybercriminel en hoodie.

🔍 Comment Ă©viter de tomber dans le piĂšge ?

Quelques rùgles d’hygiùne simples :

  • ✅ VĂ©rifier les noms exacts : nodemailer ≠ nodejs-smtp.
  • ✅ Surveiller la popularité : un projet critique avec 300 tĂ©lĂ©chargements, ça sent le sapin.
  • ✅ Checker les mainteneurs : si le compte est nouveau, mĂ©fiance.
  • ✅ Analyser le code source (au moins le package.json et les scripts d’install).
  • ✅ Mettre en place des scanners de dĂ©pendances (npm audit, Snyk, Dependabot).
  • ✅ Limiter la prolifĂ©ration des dĂ©pendances : chaque npm install est une porte d’entrĂ©e potentielle.

🧠 Leçon à retenir

L’affaire nodejs-smtp n’est pas qu’une anecdote de plus.
Elle nous rappelle une vĂ©ritĂ© inconfortable : les dĂ©veloppeurs sont devenus des gardiens de la supply chain numĂ©rique.

Chaque dĂ©pendance installĂ©e est une boĂźte noire qui peut contenir aussi bien du code utile que du poison. Les attaquants l’ont compris et multiplient les paquets clonĂ©s ou typosquattĂ©s.

Alors oui, vĂ©rifier son package.json n’est pas aussi sexy que coder une nouvelle feature. Mais mieux vaut perdre 5 minutes Ă  lire un README que perdre tous ses bitcoins Ă  cause d’une dĂ©pendance pourrie.

💬 Et toi, tu vĂ©rifies toujours tes paquets npm avant d’installer, ou tu fais confiance les yeux fermĂ©s ?

🚹 npm malveillant piĂ©gĂ© : quand nodejs-smtp se fait passer pour Nodemailer et cible vos wallets crypto
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut