Des chercheurs de Kaspersky ont identifié une nouvelle campagne de malware visant les investisseurs crypto via de faux dépôts GitHub et de l’ingénierie sociale. Les attaquants se font passer pour des projets open source légitimes et incitent développeurs et utilisateurs crypto à télécharger du code qui installe un infostealer sur la machine hôte.
Pourquoi c’est important
La distribution open source est devenue l’un des canaux les plus efficaces pour diffuser des malwares ciblant la crypto, car le modèle de confiance repose sur la réputation plutôt que sur la vérification. Un dépôt qui paraît professionnel, avec un historique de commits crédible et des références à un vrai nom de projet, suffit à passer lors d’un téléchargement effectué à la hâte. Les phrases de récupération, extensions de wallets de navigateur et identifiants d’exchange se trouvent souvent sur les mêmes machines que celles utilisées par les développeurs pour cloner un dépôt. Un seul mauvais pull peut donc suffire à vider des fonds.
Impact sur le marché
Les pertes crypto liées aux malwares de type stealer ont fortement augmenté en 2025, et les attaques de chaîne d’approvisionnement visant les développeurs ont causé certains des plus gros incidents individuels de l’année. Pour les investisseurs, la leçon reste opérationnelle : garder le stockage à froid hors de la machine utilisée pour le développement, limiter précisément les autorisations de tokens et considérer chaque téléchargement GitHub comme non fiable tant qu’il n’a pas été vérifié.
Questions fréquemment posées
-
Qu’a réellement découvert Kaspersky ?
Des chercheurs de Kaspersky ont identifié une nouvelle campagne de malware visant les investisseurs crypto via de faux dépôts GitHub et de l’ingénierie sociale, en se faisant passer pour des projets open source légitimes afin de distribuer un infostealer.
-
Comment l’attaque atteint-elle les utilisateurs crypto ?
Les attaquants publient de faux dépôts qui ressemblent à des projets légitimes. Lorsqu’un développeur ou un utilisateur crypto clone le dépôt et exécute le code, celui-ci installe un infostealer sur la machine hôte.
-
Que cherche à voler le malware ?
L’infostealer cible les extensions de wallets de navigateur, les identifiants d’exchange et les phrases de récupération stockées sur la machine infectée.
-
Pourquoi GitHub est-il un canal utile pour diffuser des malwares crypto ?
La confiance dans l’open source repose sur la réputation du dépôt plutôt que sur la vérification. Un dépôt à l’apparence professionnelle, avec un historique de commits crédible, peut passer lors d’un téléchargement hâtif sans éveiller les soupçons.
-
Comment les utilisateurs crypto peuvent-ils réduire le risque ?
Gardez les clés de signature sur du matériel isolé, limitez strictement les autorisations de tokens et considérez les téléchargements GitHub inconnus comme compromis tant qu’ils n’ont pas été vérifiés indépendamment.