Une nouvelle cyber attaque secoue l’écosystème crypto. Plus de 400 bibliothèques de code JavaScript, dont des outils clés liés à Ethereum Name Service (ENS), ont été compromises. L’affaire met en lumière la fragilité des dépendances open source utilisées partout dans sur internet, et notamment dans le Web3.
Le virus « Shai Hulud » au cœur d’une vaste campagne
Selon une enquête d’Aikido Security, un logiciel malveillant baptisé « Shai Hulud » s’est propagé. Il a infecté des centaines de paquets NPM. Le chercheur Charlie Eriksen a identifié plus de 400 bibliothèques infectées, dont au moins dix très utilisées dans le secteur crypto.
Elles sont pour la plupart liées à l’ENS, le service qui transforme des adresses Ethereum en noms lisibles, comme des noms de domaines. Parmi les paquets de code touchés figurent notamment content-hash, address-encoder, ensjs ou encore ethereum-ens.
We have identified that certain npm packages starting with @ensdomains published around 5:49am UTC today may be affected by a Sha1-Hulud supply-chain attack that has compromised over 400 NPM libraries, including several ENS packages.
The team has updated all latest tags and is…
— ens.eth (@ensdomains) November 24, 2025
Chacun de ces paquets enregistre des dizaines de milliers de téléchargements par semaine. Ils servent aussi de briques technologiques à des dizaines d’autres projets JavaScript et Web3. Lorsque l’on contamine la chaîne d’approvisionnement à ce niveau, l’onde de choc peut se diffuser très loin.
Shai Hulud fonctionne comme un virus autonome. Il se déclenche à l’installation du paquet, collecte des identifiants, des clés et autres « secrets ». Le virus les envoie ensuite vers l’attaquant. Il peut aussi rendre publics des dépôts privés GitHub, ce qui facilite encore sa propagation.
L’écosystème crypto, une cible de choix
Des chercheurs de Wiz et d’Amazon Web Services évoquent déjà des dizaines de milliers de dépôts impactés. Ils parlent aussi d’une propagation quasi continue. L’attaque est toujours en cours au moment de la rédaction de cet article.
Cette nouvelle campagne s’inscrit dans une série d’attaques contre NPM. Il y a quelques semaines, des pirates nord coréens avait utilisé cette méthode pour siphonner des wallets. La différence majeure est que Shai Hulud vise d’abord les identifiants et l’infrastructure de développement, puis seulement après, les fonds.
🚨 Sha1 Hulud strikes again.
A second wave just hit 608 npm packages across ENS, PostHog, AsyncAPI, Postman, Zapier & more.Not a maintainer error—
A multi-org worm using stolen tokens, poisoned tarballs & GitHub Actions persistence.#SupplyChainSecurity #NPM #DevSecOps pic.twitter.com/div1q8iBlt— Phoenix Security – Appsec Phoenix – Cloud Security (@sec_phoenix) November 24, 2025
À ce stade, aucun vol massif de fonds lié spécifiquement à cette campagne n’a été confirmé. Les analystes rappellent toutefois que, si des clés de portefeuille sont présentes dans l’environnement infecté, elles peuvent être exfiltrées comme n’importe quel autre secret.
Dans ce climat anxiogène, des outils comme Best Wallet sont un plus. Ce wallet souverain multi chaînes, vous permet de gérer vos tokens sur tous les réseaux majeurs avec simplicité et en toute sécurité.
Les cryptoactifs représentent un investissement risqué.
Quels risques pour ENS, les développeurs et les utilisateurs crypto ?
Pour les équipes Web3, il faut donc partir du principe que tout ce qui était accessible depuis ces machines est potentiellement compromis. Pour le protocole ENS, l’enjeu dépasse la seule sécurité de quelques paquets. Le protocole sert de couche d’adressage à une grande partie de l’écosystème Ethereum.
Des bibliothèques infectées peuvent ouvrir la voie à des attaques en chaîne sur des dapps, des interfaces de wallets ou des services d’infrastructure. Même si le registre ENS lui-même reste intact, la confiance dans le logiciel est mise à l’épreuve.
Les développeurs sont en première ligne. Beaucoup s’appuient sur NPM sans audit approfondi, en important des dépendances tierces dans tous les sens. Cette attaque rappelle brutalement que chaque installation de paquet peut devenir un vecteur d’intrusion.
Plusieurs actions à mener pour limiter le risque : verrouiller les versions, surveiller les scripts d’installation, isoler les environnements de build, et révoquer systématiquement les jetons et clés exposés.
Pour les utilisateurs finaux, il faut mettre à jour les applications, utiliser des portefeuilles matériels pour les montants importants. La crypto dépend énormément de l’open source et chaque incident comme celui de Shai Hulud rappelle que la sécurité du code partagé est désormais un enjeu systémique.
Cet article ne représente en aucun cas un conseil en investissement. Les informations fournies ici ne doivent pas être utilisées comme base pour prendre des décisions financières. Les investissements en crypto-monnaie comportent des risques et peuvent entraîner des pertes importantes. Il convient d’investir uniquement ce que vous pouvez vous permettre de perdre et d’effectuer vos propres recherches avant de prendre toute décision d’investissement.
Sur le même sujet :
- Chainlink prêt pour un x10 ? Grayscale affirme que LINK sera “l’infrastructure clé” du futur tokenisé
- Pourquoi un milliardaire achète encore des NFT ?
- La communauté Bitcoin appelle au boycott de JPMorgan : Strategy radiée du MSCI ?