Un nouvel ensemble de quatre packages malveillants a été découvert dans le registre des packages npm avec des capacités permettant de voler les informations d’identification du portefeuille de crypto-monnaie des développeurs Ethereum.

« Les packages se font passer pour des utilitaires cryptographiques légitimes et une infrastructure Flashbots MEV tout en exfiltrant secrètement des clés privées et des graines mnémotechniques vers un bot Telegram contrôlé par l’acteur de la menace », a déclaré le chercheur de Socket Kush Pandya dans une analyse.

Les paquets ont été téléchargés sur npm par un utilisateur nommé « flashbotts », la bibliothèque la plus ancienne ayant été téléchargée en septembre 2023. Le téléchargement le plus récent a eu lieu le 19 août 2025. Les paquets en question, toujours disponibles au téléchargement au moment de la rédaction de cet article, sont listés ci-dessous :

• @flashbotts/ethers-provider-bundle (52 téléchargements)
• Flashbot-sdk-eth (467 téléchargements)
• sdk-ethers (90 téléchargements)
• gram-utilz (83 téléchargements)

L’usurpation d’identité de Flashbots n’est pas une coïncidence, étant donné son rôle dans la lutte contre les effets néfastes de la valeur maximale extractible ( MEV ) sur le réseau Ethereum, tels que les attaques sandwich, de liquidation, de backrunning, de front-running et de time-bandit.

La bibliothèque la plus dangereuse identifiée est « @flashbotts/ethers-provider-bundle », qui utilise sa couverture fonctionnelle pour dissimuler les opérations malveillantes. Sous couvert d’une compatibilité totale avec l’API Flashbots, le package intègre une fonctionnalité furtive permettant d’exfiltrer les variables d’environnement via SMTP via Mailtrap.

De plus, le package npm implémente une fonction de manipulation de transaction pour rediriger toutes les transactions non signées vers une adresse de portefeuille contrôlée par l’attaquant et enregistrer les métadonnées des transactions pré-signées.

sdk-ethers, selon Socket, est généralement bénin mais comprend deux fonctions pour transmettre des phrases mnémotechniques à un bot Telegram qui ne sont activées que lorsqu’elles sont invoquées par des développeurs involontaires dans leurs propres projets.

Le deuxième package permettant d’usurper l’identité de Flashbots, flashbot-sdk-eth, est également conçu pour déclencher le vol de clés privées, tandis que gram-utilz propose un mécanisme modulaire permettant d’exfiltrer des données arbitraires vers le chat Telegram de l’acteur de la menace.

Avec des phrases mnémotechniques servant de « clé principale » pour récupérer l’accès aux portefeuilles de cryptomonnaie, le vol de ces séquences de mots peut permettre aux acteurs malveillants de pénétrer dans les portefeuilles des victimes et d’obtenir le contrôle total de leurs portefeuilles.

La présence de commentaires en vietnamien dans le code source suggère que l’acteur de la menace motivé par des raisons financières pourrait être vietnamien.

Les résultats indiquent un effort délibéré de la part des attaquants pour instrumentaliser la confiance associée à la plateforme afin de mener des attaques sur la chaîne d’approvisionnement logicielle, sans parler de masquer les fonctionnalités malveillantes au milieu d’un code pour la plupart inoffensif afin d’échapper à tout examen.

« Flashbots jouissant d’une grande confiance auprès des validateurs, des chercheurs et des développeurs DeFi, tout package semblant être un SDK officiel a de fortes chances d’être adopté par les opérateurs utilisant des robots de trading ou gérant des portefeuilles chauds », a souligné Pandya. « Dans cet environnement, une clé privée compromise peut entraîner un vol de fonds immédiat et irréversible. »

« En exploitant la confiance des développeurs dans les noms de packages familiers et en complétant le code malveillant avec des utilitaires légitimes, ces packages transforment le développement Web3 de routine en un pipeline direct vers les robots Telegram contrôlés par les acteurs de la menace. »