Acheter Cryptos
Payer en
USD
Acheter & Vendre
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Trader
Type de trading
Spot
Échangez des cryptos librement
Alpha
Points
Obtenez des actifs prometteurs dans le cadre d'un trading on-chain rationalisé
Pre-Market
Trade de nouveaux jetons avant qu'ils ne soient officiellement listés
Marge
Augmentez vos bénéfices grâce à l'effet de levier
Conversion & Trading en blocs
0 Fees
Tradez n’importe quel volume sans frais ni slippage
Tokens à effet de levier
Soyez facilement exposé à des positions à effet de levier
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Demo Trading
Futures Kickoff
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
Investissement
Simple Earn
VIP
Gagner des intérêts avec des jetons inutilisés
Investissements Automatique
Auto-invest régulier
Double investissement
Acheter à bas prix et vendre à prix élevé pour tirer profit des fluctuations de prix
Fonds Quant
VIP
Une équipe de gestion d'actifs de premier plan vous aide à réaliser des bénéfices en toute simplicité
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Gestion de patrimoine VIP
New
La gestion qui fait grandir votre richesse
Gestion privée de patrimoine
Gestion personnalisée des actifs pour accroître vos actifs numériques
Staking
Stakez des cryptos pour gagner avec les produits PoS.
BTC Staking
HOT
Stakez vos BTC et gagnez 10 % d’APR
GUSD Minting
New
Utilisez USDT/USDC pour minter du GUSD et obtenir des rendements comparables à ceux des bons du Trésor.
Staking souple
Gagnez des récompenses grâce au staking flexible
Plus
- Sujets populairesAfficher plus
13.4K Popularité
46.7K Popularité
10.6K Popularité
1.7K Popularité
187.3K Popularité
- Épingler
Contrats intelligents Ethereum exploités pour dissimuler du code malveillant
Gate News
6 oct. 2025 03:28
Une opération de malware sophistiquée exploitant des contrats intelligents Ethereum pour dissimuler des URL de logiciels malveillants a été exposée par des chercheurs en cybersécurité. Les attaquants ont utilisé les packages npm colortoolv2 et mimelib2 comme vecteurs de téléchargement initiaux, illustrant une approche innovante pour échapper aux mesures de sécurité traditionnelles.
Lors de l'installation, ces paquets npm déclenchent un processus pour récupérer des logiciels malveillants secondaires à partir d'une infrastructure de commande et de contrôle (C2) en interagissant avec des contrats intelligents Ethereum. Cette méthode, décrite comme sans précédent par l'experte en sécurité Lucija Valentic, a réussi à contourner les analyses conventionnelles qui signalent généralement les URL suspectes dans les scripts des paquets.
Logiciels malveillants déguisés dans les fonctions de blockchain publiques
Les contrats intelligents d'Ethereum, conçus comme des programmes transparents pour automatiser les opérations sur blockchain, ont été réutilisés par des hackers pour dissimuler du code malveillant à la vue de tous. Le vecteur d'attaque a utilisé un simple fichier index.js qui, une fois exécuté, interrogeait la blockchain pour obtenir des informations sur le serveur C2.
Les chercheurs ont noté que bien que les paquets de téléchargement soient rares dans npm, l'utilisation de la blockchain pour héberger des logiciels malveillants signale une évolution des stratégies d'évasion. Une enquête plus approfondie a révélé que ces paquets malveillants étaient intégrés dans des dépôts GitHub se faisant passer pour des robots de trading de cryptomonnaie pour diverses plateformes.
Ces dépôts trompeurs ont été conçus pour apparaître comme de véritables outils professionnels, comportant de multiples commits, conteneurs et étoiles. Cependant, une analyse plus approfondie a révélé leur nature fabriquée, la plupart des commits étant des changements superficiels dans les fichiers de licence plutôt que des mises à jour de code substantielles.
Réseau coordonné d'acteurs malveillants découvert
L'enquête a lié cette activité à un réseau sophistiqué de comptes conçus pour renforcer la crédibilité des dépôts malveillants. Cette opération visait spécifiquement les développeurs à la recherche d'outils de cryptomonnaie open-source, exploitant la tendance à assimiler les statistiques gonflées de GitHub à la légitimité.
Au fur et à mesure que les efforts de détection avançaient, les attaquants ont démontré une agilité en changeant fréquemment de dépendances entre différents comptes. La découverte de cette tactique souligne l'évolution rapide des stratégies d'évasion de détection employées par des acteurs malveillants infiltrant des projets open-source.
Un nouveau chapitre dans les défis de la cybersécurité
Cet incident fait partie d'une tendance plus large d'attaques ciblant l'écosystème blockchain. Plus tôt en 2025, d'autres paquets npm malveillants ont été découverts pour patcher des bibliothèques liées aux cryptomonnaies légitimes avec du code permettant un accès non autorisé. De plus, des plateformes de confiance comme les services de stockage dans le cloud et les sites de partage de code ont été exploitées pour masquer la distribution de code malveillant.
L'incorporation de contrats intelligents Ethereum dans la livraison de logiciels malveillants représente une approche novatrice dans un paysage de menaces de plus en plus sophistiqué. Cela met en évidence le besoin critique pour les développeurs de vérifier rigoureusement la légitimité des bibliothèques open-source avant l'intégration.
Les experts en sécurité soulignent que les indicateurs traditionnels de crédibilité des projets, tels que le nombre d'étoiles, la fréquence des commits et le nombre de mainteneurs, peuvent être facilement manipulés. Ils conseillent une évaluation complète de chaque bibliothèque envisagée pour inclusion dans les environnements de développement.
Bien que les paquets malveillants identifiés aient été supprimés et que les comptes associés aient été fermés, cet incident sert de rappel frappant de la nature évolutive des menaces de sécurité logicielle dans l'espace des cryptomonnaies.
Assurer la sécurité dans le développement open-source
À la lumière de ces développements, la communauté des cryptomonnaies est incitée à faire preuve de prudence accrue lors de l'adoption d'outils open-source. Les développeurs et les projets devraient mettre en œuvre des processus de vérification robustes et prendre en compte plusieurs facteurs au-delà des métriques de surface lors de l'évaluation de la confiance dans les bibliothèques et ressources externes.
Alors que les secteurs de la blockchain et des cryptomonnaies continuent d'innover, les pratiques de sécurité doivent également évoluer pour faire face à de nouveaux défis. Cet incident souligne l'importance d'une vigilance continue et d'une adaptation face à des menaces cybernétiques de plus en plus sophistiquées.