 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
 |
|
Articles d’actualité sur les crypto-monnaies
Bitcoinlib Under Fire: comment les typosquat PYPI mettent en danger les portefeuilles cryptographiques
Apr 18, 2025 at 03:54 pm
Début avril 2025, les chercheurs en sécurité ont pris des alarmes sur une attaque malveillante ciblant les utilisateurs de Bitcoinlib. Les pirates n'ont pas attaqué la bibliothèque Bitcoinlib elle-même
output: A recent report by ReversingLabs has shed light on a concerning attack targeting Bitcoinlib, a popular Python library used for interacting with Bitcoin.
SORTIE: Un rapport récent de ReversingLabs a mis en lumière une attaque concernant le ciblage de Bitcoinlib, une bibliothèque Python populaire utilisée pour interagir avec Bitcoin.
Instead of directly hacking the library itself, hackers uploaded fake versions of Bitcoinlib to PyPI (Python Package Index), the platform from which developers download libraries. This ploy tricked developers into installing the malicious packages, granting hackers access to their crypto wallets.
Au lieu de pirater directement la bibliothèque elle-même, les pirates ont téléchargé de fausses versions de Bitcoinlib vers PYPI (Python Package Index), la plate-forme à partir de laquelle les développeurs téléchargent des bibliothèques. Ce stratagème a incité les développeurs à installer les forfaits malveillants, accordant aux pirates l'accès à leurs portefeuilles cryptographiques.
The 2024 Software Supply Chain Security Report, produced by ReversingLabs, delves into the increasing sophistication of software supply chain attacks, particularly focused on cryptocurrency applications. Throughout the year, researchers identified 23 malicious campaigns targeting crypto infrastructure, largely via open-source repositories like npm and PyPI.
Le rapport de sécurité de la chaîne d'approvisionnement des logiciels de 2024, produit par inverselabs, plonge dans la sophistication croissante des attaques de chaîne d'approvisionnement logicielles, en particulier axée sur les applications de crypto-monnaie. Tout au long de l'année, les chercheurs ont identifié 23 campagnes malveillantes ciblant les infrastructures cryptographiques, en grande partie via des référentiels open source comme NPM et PYPI.
These attacks spanned both basic typosquatting — where packages closely resemble legitimate ones in spelling to deceive developers — and more advanced tactics. Some attackers created packages that initially appeared benign but were later updated with malicious code, such as the “aiocpa” package or the assault on Solana’s web3.js library.
Ces attaques ont duré à la fois la typosquat de base - où les forfaits ressemblent étroitement à ceux légitimes d'orthographe pour tromper les développeurs - et des tactiques plus avancées. Certains attaquants ont créé des packages qui semblaient initialement bénins mais qui ont été mis à jour plus tard avec un code malveillant, comme le package «AIOCPA» ou l'assaut à la bibliothèque Web3.js de Solana.
Moreover, attackers grew bolder in targeting prominent libraries, demonstrating a shift from opportunistic to targeted attacks. Among the victims were Node.js modules used by major decentralized exchanges (DEXs) and a package designed for smart contracts on the Hedera blockchain.
De plus, les attaquants ont augmenté plus audacieux dans le ciblage des bibliothèques importantes, démontrant un passage de l'opportuniste aux attaques ciblées. Parmi les victimes, il y avait des modules Node.js utilisés par les échanges majeurs décentralisés (DEX) et un package conçu pour des contrats intelligents sur la blockchain Hedera.
Cryptocurrency, in the words of ReversingLabs, serves as a “canary in the coal mine,” highlighting the strong financial incentives that draw attackers to the space. The crypto industry, in essence, provides a testing ground for emerging threat types that could later be applied to other sectors.
La crypto-monnaie, selon les mots de l'inversion deslab, sert de «canari dans la mine de charbon», mettant en évidence les fortes incitations financières qui attirent les attaquants dans l'espace. L'industrie cryptographique, en substance, fournit un terrain de test pour les types de menaces émergents qui pourraient plus tard être appliqués à d'autres secteurs.
As organizations move away from trust-based assumptions, particularly when dealing with third-party or closed-source binaries, they will need to adjust their approach to security accordingly.output: In early April, security researchers sounded the alarm on a focused attack targeting users of Bitcoinlib, a popular Python library used by developers to interact with Bitcoin.
Alors que les organisations s'éloignent des hypothèses basées sur la confiance, en particulier lorsqu'ils traitent avec des binaires tiers ou à source fermée, ils devront ajuster leur approche à la sécurité en conséquence.
However, hackers didn’t attack the Bitcoinlib library itself. Instead, they uploaded fake versions of the library to PyPI (Python Package Index), the platform where developers download Python libraries.
Cependant, les pirates n'ont pas attaqué la bibliothèque Bitcoinlib elle-même. Au lieu de cela, ils ont téléchargé les fausses versions de la bibliothèque vers PYPI (Python Package Index), la plate-forme où les développeurs téléchargent des bibliothèques Python.
The ploy worked, and developers ended up installing the malicious packages, granting the hackers access to their crypto wallets.
Le stratagème a travaillé et les développeurs ont fini par installer les forfaits malveillants, accordant aux pirates l'accès à leurs portefeuilles cryptographiques.
Now, ReversingLabs’ 2024 Software Supply Chain Security Report has taken a closer look at this hack and the broader trends in software supply chain security.
Désormais, le rapport de sécurité de la chaîne d'approvisionnement des logiciels de l'inversion des Labs a examiné de plus près ce hack et les tendances plus larges de la sécurité de la chaîne d'approvisionnement des logiciels.
The report, titled “The Evolving Threat Landscape,” documents a year of tracking and analysis of software supply chain threats, focusing on emerging attack types, preferred attack vectors, and the attackers’ shifting targets.
Le rapport, intitulé «Le paysage des menaces en évolution», documente une année de suivi et d'analyse des menaces de chaîne d'approvisionnement logiciels, de se concentrer sur les types d'attaques émergents, les vecteurs d'attaque préférés et les cibles changeantes des attaquants.
The report found that software supply chain attacks grew more sophisticated in 2024, with particular intensity around cryptocurrency applications. Throughout the year, researchers identified 23 malicious campaigns targeting crypto infrastructure, the majority (14) focused on open-source repositories like npm and PyPI.
Le rapport a révélé que les attaques de chaîne d'approvisionnement logicielles sont devenues plus sophistiquées en 2024, avec une intensité particulière autour des applications de crypto-monnaie. Tout au long de l'année, les chercheurs ont identifié 23 campagnes malveillantes ciblant les infrastructures cryptographiques, la majorité (14) se sont concentrées sur les référentiels open source comme le NPM et le PYPI.
These spanned both basic typosquatting — where packages closely resemble legitimate ones in spelling to deceive developers — and more advanced tactics. Some attackers created packages that initially appeared benign but were later updated with malicious code, such as the “aiocpa” package or the assault on Solana’s web3.js library.
Ceux-ci se sont déroulés à la fois la typosquat de base - où les packages ressemblent étroitement à ceux légitimes d'orthographe pour tromper les développeurs - et des tactiques plus avancées. Certains attaquants ont créé des packages qui semblaient initialement bénins mais qui ont été mis à jour plus tard avec un code malveillant, comme le package «AIOCPA» ou l'assaut à la bibliothèque Web3.js de Solana.
Moreover, attackers grew bolder in targeting prominent libraries, demonstrating a shift from opportunistic to targeted attacks. Among the victims were Node.js modules used by major decentralized exchanges (DEXs) and a package designed for smart contracts on the Hedera blockchain.
De plus, les attaquants ont augmenté plus audacieux dans le ciblage des bibliothèques importantes, démontrant un passage de l'opportuniste aux attaques ciblées. Parmi les victimes, il y avait des modules Node.js utilisés par les échanges majeurs décentralisés (DEX) et un package conçu pour des contrats intelligents sur la blockchain Hedera.
Cryptocurrency, in the words of ReversingLabs, serves as a “canary in the coal mine,” highlighting the strong financial incentives that draw attackers to the space. The crypto industry, in essence, provides a testing ground for emerging threat types that could later be applied to other sectors.
La crypto-monnaie, selon les mots de l'inversion deslab, sert de «canari dans la mine de charbon», mettant en évidence les fortes incitations financières qui attirent les attaquants dans l'espace. L'industrie cryptographique, en substance, fournit un terrain de test pour les types de menaces émergents qui pourraient plus tard être appliqués à d'autres secteurs.
As organizations move away from trust-based assumptions, particularly when dealing with third-party or closed-source binaries, they will need to adjust their approach to security accordingly.
Alors que les organisations s'éloignent des hypothèses basées sur la confiance, en particulier lorsqu'ils traitent avec des binaires tiers ou à source fermée, ils devront ajuster leur approche de la sécurité en conséquence.
Clause de non-responsabilité:info@kdj.com
Les informations fournies ne constituent pas des conseils commerciaux. kdj.com n’assume aucune responsabilité pour les investissements effectués sur la base des informations fournies dans cet article. Les crypto-monnaies sont très volatiles et il est fortement recommandé d’investir avec prudence après une recherche approfondie!
Si vous pensez que le contenu utilisé sur ce site Web porte atteinte à vos droits d’auteur, veuillez nous contacter immédiatement (info@kdj.com) et nous le supprimerons dans les plus brefs délais.
-
-
-
- Les pièces de monnaie se déplacent à nouveau - mais Web3 Ai pourrait donner le signal 100x plus intelligent dans un marché rempli de battage médiatique
- Apr 20, 2025 at 12:35 pm
- DoGECoin détient 0,15 $ tandis que Shiba INU saute 13%, mais la prévente de 0,100 $ de WEB3 AI et la suite AI tout-en-un signale quelque chose de plus grand - REAL Tech
-
-
-
-
- Kaspa Eyes 1 $, Aave élargit le gho, BlockDag déploie son TestNet - qui mène le pack?
- Apr 20, 2025 at 12:25 pm
- Catchez les dernières dernières personnes sur KASPA (KAS), AAVE (AAVE) et Blockdag pour voir dans quelle nouvelle crypto investir. Comparez les rendements, les fonctionnalités et l'élan du marché pour aider à faire un choix plus net.
-
-
- Le ETF Ishares Etf (Etf) de BlackRock (Etf) lance le trading d'options, ouvrant une nouvelle ère
- Apr 20, 2025 at 12:20 pm
- Ethereum (ETH) vient de marquer une victoire historique sur sa voie vers l'adoption financière traditionnelle, car la Commission américaine des Securities and Exchange (SEC) a officiellement approuvé des options de négociation pour plusieurs fonds (ETF) basés sur la bourse basés par Ethereum. Cette étape audacieuse inaugure une nouvelle ère pour les investisseurs de l'ETH
