Malicious npm Package nodejs-smtp Mimics Nodemailer, Targets Atomic and Exodus Wallets

1 minute de lecture

Mis à jour : September 02, 2025

Faux paquet npm : un leurre pour voler des cryptomonnaies

Un paquet npm malveillant nommé nodejs-smtp a été découvert. Il imite la bibliothèque légitime nodemailer avec une présentation identique afin de tromper les développeurs. Ce paquet, qui n’est plus disponible, a été utilisé pour cibler des applications de portefeuille de cryptomonnaies pour Windows, telles qu’Atomic et Exodus.

Une fois importé, le paquet exploite les outils Electron pour décompresser les archives app.asar des applications ciblées. Il remplace ensuite un composant interne par une charge utile malveillante, reconditionne l’application modifiée et supprime ses traces.

L’objectif principal est de rediriger les transactions de diverses cryptomonnaies (Bitcoin, Ethereum, Tether, XRP, Solana) vers des portefeuilles contrôlés par les attaquants, agissant ainsi comme un “clippeur” de cryptomonnaies. Le paquet conserve sa fonctionnalité d’envoi d’e-mails pour ne pas éveiller les soupçons. Cette méthode permet de modifier discrètement une application de bureau existante sur un poste de travail compromis, même après redémarrages.

Points Clés :

Découverte d’un paquet npm malveillant : nodejs-smtp.
Ce paquet imite nodemailer.
Il cible les portefeuilles de cryptomonnaies pour Windows : Atomic et Exodus.
Le mécanisme utilise Electron pour modifier les fichiers internes des applications ciblées.
L’objectif est de rediriger les fonds vers des portefeuilles contrôlés par les attaquants (clippeur de cryptomonnaies).
La fonctionnalité d’envoi d’e-mails sert de couverture pour dissimuler l’activité malveillante.

Vulnérabilités :

Aucun identifiant CVE spécifique n’est mentionné dans l’article pour cette attaque.

Recommandations :

Vérifier scrupuleusement les dépendances npm importées, en particulier leur nom et leur provenance.
Se méfier des paquets qui imitent des bibliothèques légitimes.
Effectuer des analyses de sécurité régulières sur le code source et les dépendances des applications.
Être vigilant quant aux changements inattendus dans le comportement des applications de portefeuille de cryptomonnaies.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Malicious npm Package nodejs-smtp Mimics Nodemailer, Targets Atomic and Exodus Wallets

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)