L'industrie de la crypto-monnaie reste la plus grande cible pour les attaques de chaîne d'approvisionnement logicielles

En ce qui concerne la fréquence et la sophistication des attaques de chaîne d'approvisionnement logicielles, peu d'industries peuvent se comparer à l'industrie des crypto-monnaies.

When it comes to the frequency and sophistication of software supply chain attacks, few industries can compare with the cryptocurrency industry. As Balena’s 2025 Software Supply Chain Security Report notes: In 2024, there were close to two dozen sustained supply chain campaigns designed to compromise cryptocurrency applications, crypto owners’ wallets and trading platforms.

En ce qui concerne la fréquence et la sophistication des attaques de chaîne d'approvisionnement logicielles, peu d'industries peuvent se comparer à l'industrie des crypto-monnaies. Comme le note le rapport de sécurité de la chaîne d'approvisionnement des logiciels de Balena en 2025: En 2024, il y avait près de deux douzaines de campagnes prolongées de la chaîne d'approvisionnement conçues pour compromettre les applications de crypto-monnaie, les portefeuilles et les plates-formes de trading des propriétaires de crypto.

In 2025, there is no change in that trend line. A string of malicious software supply chain campaigns have targeted developers working on crypto-related applications. The latest popped onto the Balena research team’s radar last week when automated machine learning (ML) detection features in Balena’s Spectra platform identified two malicious Python packages posted to the Python Package Index (PyPI) containing code designed to exfiltrate sensitive database files.

En 2025, il n'y a aucun changement dans cette ligne de tendance. Une série de campagnes malveillantes de la chaîne d'approvisionnement des logiciels ont ciblé les développeurs travaillant sur des applications liées à la crypto. Le dernier a apporté le radar de l'équipe de recherche de Balena la semaine dernière lorsque les fonctionnalités de détection de l'apprentissage automatique (ML) automatisées sur la plate-forme Spectra de Balena ont identifié deux packages Python malveillants publiés dans le code Python Package Index (PYPI) contenant du code conçu pour exfiltrer les fichiers de base de données sensibles.

Here’s how the crypto malware was discovered by the Balena research team.

Voici comment le malware crypto a été découvert par l'équipe de recherche Balena.

[ Download Today: 2025 Software Supply Chain Security Report | See the SSCS Report Webinar ]

[Télécharger aujourd'hui: 2025 Rapport de sécurité de la chaîne d'approvisionnement des logiciels | Voir le webinaire du rapport SSCS]

Popular Python crypto library targeted with a fake fix

Bibliothèque de cryptographie Python populaire ciblée avec une fausse correction

The Python packages we found both had names that target users of bitcoinlib, a popular Python library that contains features for creating and managing crypto wallets, interacting with the Blockchain, and running Bitcoin scripts, among other things. Bitcoinlib is a widely used open source library, with more than one million downloads to date and frequent updates.

Les packages Python que nous avons trouvés avaient tous deux des noms qui ciblent les utilisateurs de Bitcoinlib, une bibliothèque Python populaire qui contient des fonctionnalités de création et de gestion des portefeuilles cryptographiques, d'interagir avec la blockchain et d'exécuter des scripts Bitcoin, entre autres. Bitcoinlib est une bibliothèque open source largement utilisée, avec plus d'un million de téléchargements à ce jour et des mises à jour fréquentes.

The malicious packages detected were named bitcoinlibdbfix and bitcoinlib-dev. Both packages are apparent references to an issue raised recently related to error messages being generated by bitcoinlib during bitcoin transfers, with calls from developers for the maintainers to address that issue.

Les forfaits malveillants détectés ont été nommés bitcoinlibdbfix et bitcoinlib-dev. Les deux packages sont des références apparentes à un problème soulevé récemment lié aux messages d'erreur générés par Bitcoinlib lors des transferts de Bitcoin, avec des appels des développeurs pour que les mainteneurs résolvent ce problème.

The malicious libraries both attempt a similar attack, overwriting the legitimate clw cli command with malicious code that attempts to exfiltrate sensitive database files.

Les bibliothèques malveillantes tentent toutes deux une attaque similaire, écrasant la commande CLW CLW légitime avec un code malveillant qui tente d'exfiltrer les fichiers de base de données sensibles.

The developers responsible for the “scam libraries” appear to have joined in a discussion with other bitcoinlib developers and attempted to get the bitcoinlibdbfix library downloaded and run. However, the malicious content of that library was detected by the package contributors and the comments deleted.

Les développeurs responsables des «bibliothèques d'escroquerie» semblent s'être joints à une discussion avec d'autres développeurs Bitcoinlib et ont tenté de faire télécharger et exécuter la bibliothèque BitcoinlibdbFix. Cependant, le contenu malveillant de cette bibliothèque a été détecté par les contributeurs du package et les commentaires supprimés.

The second malicious package, bitcoinlib-dev, was uploaded to PyPI shortly after the first package was removed from the package manager, but has now been removed and is not available for download.

Le deuxième package malveillant, Bitcoinlib-DEV, a été téléchargé sur PYPI peu de temps après la suppression du premier package du gestionnaire de packages, mais a maintenant été supprimé et n'est pas disponible en téléchargement.

A big win for ML detection of supply chain attacks

Une grande victoire pour la détection ML des attaques de chaîne d'approvisionnement

While the threat remains on PyPI, Balena’s detection of the malicious packages is evidence of the growing power of AI and machine learning (ML) in detecting emerging software supply chain attacks.

Bien que la menace reste sur le PYPI, la détection par Balena des forfaits malveillants est la preuve de la puissance croissante de l'IA et de l'apprentissage automatique (ML) dans la détection des attaques de chaîne d'approvisionnement en logiciels émergents.

Both the bitcoinlibdbfix and bitcoinlib-dev packages were flagged in Balena’s Spectra platform using Machine Learning (ML) algorithms that can detect novel malware by analyzing the behaviors that software components exhibit. It then flags those that resemble behaviors associated with previously discovered malware campaigns and software supply chain attacks.

Les packages BitcoinlibdbFix et Bitcoinlib-DEV ont été signalés dans la plate-forme de spectres de Balena à l'aide d'algorithmes d'apprentissage automatique (ML) qui peuvent détecter de nouveaux logiciels malveillants en analysant les comportements que les composants logiciels présentent. Il signale ensuite ceux qui ressemblent à des comportements associés à des campagnes malveillantes découvertes et aux attaques de chaîne d'approvisionnement logicielles précédemment.

By encapsulating threat hunting intelligence like that in discrete security policies like these, Spectra is capable of spotting emerging threats in Python and other open source packages — even absent social engineering campaigns like the one carried out by the developers of the malicious bitcoinlib packages.

En encapsulant les renseignements de chasse aux menaces comme celle-ci dans des politiques de sécurité discrètes comme celles-ci, les spectres sont capables de repérer des menaces émergentes à Python et d'autres packages open source - même en l'absence de campagnes d'ingénierie sociale comme celle réalisée par les développeurs des forfaits bitcoins malveillants.

Automated detection like this is critical if software publishers and end-user organizations hope to shield themselves from the rising tide of software supply chain attacks targeting cryptocurrency.

Une détection automatisée comme celle-ci est critique si les éditeurs de logiciels et les organisations d'utilisateurs finaux espèrent se protéger de la marée montante des attaques de chaîne d'approvisionnement logicielles ciblant la crypto-monnaie.

Karlo Zanki, reverse engineer at Balena,, said that using open-source packages in your development environment and software project “can pose a significant security risk.”

Karlo Zanki, ingénieur à la recherche chez Balena, a déclaré que l'utilisation de packages open source dans votre projet d'environnement de développement et de logiciel «peut présenter un risque de sécurité important».

“Automated ML detections are the only way to implement real-time protection from emerging threats that bypass traditional signature-based detection mechanisms. The number of new packages that get published on a daily basis is posing a challenge for security organizations and ML model based detection is currently the best answer that the cybersecurity industry can provide.”—Karlo Zanki

«Les détections automatisées de ML sont le seul moyen de mettre en œuvre une protection en temps réel contre les menaces émergentes qui contournent les mécanismes de détection traditionnels basés sur la signature. Le nombre de nouveaux packages qui sont publiés quotidiennement pose un défi pour les organisations de sécurité et la détection basée sur le modèle ML est actuellement la meilleure réponse que l'industrie de la cybersécurité peut fournir.» - Karlo Zanki.