Un paquet malveillant déguisé en convertisseur PDF a été utilisé pour pirater les portefeuilles de cryptomonnaies Atomic Wallet et Exodus, exposant des milliers d’utilisateurs à une fraude invisible.
Un paquet open source diffusé via le gestionnaire npm, baptisé pdf-to-office, prétendait offrir une fonction anodine de conversion de fichiers PDF vers des formats Microsoft Office. En réalité, il s’agissait d’un cheval de Troie sophistiqué, conçu pour infiltrer deux des portefeuilles de cryptomonnaies les plus populaires — Atomic Wallet et Exodus — et rediriger subrepticement les transactions vers des adresses contrôlées par les cybercriminels. Cette attaque ciblée souligne à nouveau les failles béantes de la chaîne d’approvisionnement logicielle dans l’univers de la blockchain, où la confiance peut être compromise par une simple ligne de code.
Ce n’est pas la première fois que des paquets npm sont détournés à des fins malveillantes, mais l’attaque révélée se distingue par sa précision chirurgicale et son camouflage élaboré. Le paquet pdf-to-office ne suscitait a priori aucun soupçon : ses métadonnées semblaient légitimes, sa description technique cohérente, et il remplissait même partiellement sa promesse en convertissant certains fichiers PDF. Mais une fois installé sur la machine d’un développeur ou d’un utilisateur peu méfiant, le vrai travail du code malveillant commençait.
Dès l’exécution, le script inspectait le système local pour détecter la présence des portefeuilles Atomic Wallet ou Exodus. En fonction de la version installée, il allait modifier directement certains fichiers critiques au sein de leurs répertoires. Le plus inquiétant : les applications continuaient à fonctionner normalement, sans éveiller la moindre alerte de la part de l’utilisateur. L’interface restait identique, les soldes n’étaient pas altérés, les fonctions paraissaient intactes. Pourtant, à l’envoi de fonds, l’adresse du destinataire était discrètement remplacée par une adresse appartenant à l’attaquant.
« Même supprimé, le virus continue d’agir dans l’ombre : seul un reformatage complet des portefeuilles permet d’en venir à bout. »
Cette technique d’injection silencieuse est particulièrement dangereuse, car elle détourne des fonds en toute discrétion, souvent sans que les victimes ne s’en rendent compte avant que le mal ne soit fait. Ce type d’attaque est difficile à détecter à l’œil nu, car elle ne repose pas sur un simple keylogger ou une interception réseau, mais sur la modification interne des composants de logiciels de confiance.
Le script malveillant effectuait un archivage de fichiers provenant de la configuration d’AnyDesk, un logiciel populaire de prise de contrôle à distance. Ces archives étaient ensuite exfiltrées vers un serveur externe, ce qui pourrait indiquer soit une tentative de nettoyage de traces, soit la préparation d’une attaque plus vaste ciblant des environnements professionnels ou des infrastructures critiques. Ce volet secondaire de l’attaque suggère un niveau de sophistication élevé, digne de groupes de cybercriminalité organisés.
L’attaque met en lumière les faiblesses structurelles de l’écosystème npm, qui repose sur la confiance entre développeurs.
À l’heure actuelle, le paquet pdf-to-office a été retiré de la plateforme npm. Mais les conséquences persistent. Car même après la suppression du paquet et son désinstallation manuelle, les fichiers infectés dans les portefeuilles restent actifs. En d’autres termes, le logiciel reste compromis à moins d’être complètement réinstallé depuis des sources officielles. Cette persistance pose un défi majeur pour la remédiation : de nombreux utilisateurs n’imaginent pas qu’une simple dépendance de développement puisse infecter leur portefeuille crypto, et continuent à utiliser leur logiciel sans se douter du détournement.
Les versions officielles d’Atomic Wallet et Exodus, disponibles sur les sites des éditeurs, n’ont pas été affectées. Seules les installations locales ayant incorporé ce paquet via une chaîne de dépendances contaminée sont concernées. Cela n’empêche pas de tirer une sonnette d’alarme : une fois de plus, c’est l’intégrité de la chaîne d’approvisionnement logicielle qui est en jeu. Une menace devenue récurrente, après des scandales retentissants comme celui de SolarWinds ou de l’attaque contre 3CX.
