News
JFrog révèle un stratagème de crypto phishing open source
avril 2025 par JFrog
L’équipe de recherche en sécurité de JFrog (JFrog Security Research) a publié une étude sur un nouveau système d’hameçonnage dans Python Package Index (PyPI), ciblant les échanges de contrats à terme sur les cryptomonnaies - une tendance récente qui a représenté un montant de 1,67 milliard de dollars au premier trimestre 2025.
Plus précisément, ils ont trouvé des répliques malveillantes de paquets CCXT dans PyPI, qui prennent en charge les échanges sur de nombreuses plateformes de cryptomonnaies, pour créer des sites Web qui simulent des sites d’échanges légitimes, en particulier MEXC.
Lors d’une tentative d’achat de contrats à terme, le site web illégitime vole les jetons des utilisateurs. Pour mettre en perspective l’impact de ce système d’hameçonnage, il faut rappeller que l’on estime à 861 millions le nombre d’utilisateurs sur le marché des cryptomonnaies.
L’équipe de recherche en sécurité de JFrog a découvert que les API du paquet malveillant redirigeaient vers un nom de domaine malveillant spécifique, greentreeone.com, qui est une réplique exacte du site MEXC légitime et qui fait même l’objet d’une promotion sur Facebook.
Les implications les plus importantes de cette découverte sont les suivantes :
• Bien que les mécanismes des cryptomonnaies soient eux-mêmes sécurisés, cette recherche montre que les acteurs malveillants ciblent désormais les périphéries des cryptomonnaies qui sont beaucoup moins sûres.
o Plutôt que de s’attaquer aux monnaies elles-mêmes, ils ciblent et continueront probablement à cibler les plateformes d’échange et les portefeuilles, qui sont beaucoup moins sûrs.
• Théoriquement, les informations obtenues par le biais d’une plateforme d’échange malveillante pourraient permettre de vider le compte crypto d’une personne.
« Cette découverte indique une évolution dans la manière dont les pirates modifient leurs vecteurs d’attaque pour cibler les progiciels qui alimentent les sites d’échange eux-mêmes et deviennent plus sophistiqués dans leur manière d’imiter les échanges traditionnels. Toutefois, il est possible de remédier à la situation. Le mieux est d’en être conscient et de valider l’authenticité de la plateforme que vous utilisez, de vérifier ses liens avec PyPI et de rechercher le paquet malveillant. À partir de là, il peut être supprimé et les jetons peuvent être révoqués, ce qui permet d’utiliser le site MEXC en toute sécurité. » explique Guy Korolevski, chercheur en sécurité chez JFrog
