Cette semaine, une intrusion inquiétante dans la chaîne d'approvisionnement numérique a été détectée : l'AppsFlyer SDK Web, une bibliothèque que de nombreuses pages et applications chargent pour mesurer les campagnes de marketing, servait de code malveillant capable de voler cryptomonedas. L'agresseur a profité de la confiance placée dans un tiers largement déployé pour modifier les adresses des billets et détourner des fonds, une technique qui transforme un script analytique simple en une porte arrière pour les utilisateurs finaux.
AppsFlyer n'est pas un outil mineur: selon l'entreprise elle-même, sa plateforme est utilisée par 15 000 entreprises et plus de 100 000 applications mobiles et web, qui multiplie la possibilité d'impact quand une telle dépendance est compromise. Des informations générales sur AppsFlyer sont disponibles sur votre page officielle. AppsFlyer - À propos.
L'intrusion a été signalée par les chercheurs Profer, qui ont identifié l'opuscado JavaScript livré du domaine officiel du SDK web. Son analyse, publiée sur le blog de l'entreprise, montre que le code malveillant a été conçu pour passer inaperçu : il maintient la fonctionnalité SDK visible pour la page mais, en arrière-plan, il défigure les chaînes ostruquées et est connecté aux requêtes réseau du navigateur. Vous pouvez lire la recherche complète dans le rapport de Profer: Détourné à la source - Profera.
Le mécanisme d'escroquerie est direct et efficace: le script surveille les formulaires et les entrées où les utilisateurs collent ou écrivent habituellement les directions du portefeuille cryptomoneda; en détectant une adresse valide, il est remplacé par une adresse contrôlée par l'attaquant et envoie simultanément l'adresse originale et les métadonnées associées aux serveurs distants. De cette façon, un transfert que vous pensez autoriser à votre destinataire réel peut se retrouver dans le compte d'un attaquant sans que la victime le remarque jusqu'à ce que la chaîne de blocs soit vérifiée..
Les types d'adresses que le code était à la recherche d'inclure les plus utilisés sur le marché: Bitcoin, Ethereum, Solana, Ripple et TON, couvrant ainsi la plupart des transactions quotidiennes en cryptomonedas. Cela renforce l'idée que la cible n'était pas un utilisateur isolé mais une tromperie à grande échelle grâce à une infrastructure partagée.
Profero estime qu'une première fenêtre d'exposition entre la nuit du 9 mars (22:45 UTC) et le 11 mars, bien que la portée exacte - combien de sites et combien d'utilisateurs ont été touchés - n'ait pas encore été complètement vérifiée. Certains utilisateurs et opérateurs ont commencé à mettre en garde contre le problème dans les forums et les réseaux; un fil en r / cybersécurité a collecté les premiers rapports de comportement suspect signalés par plusieurs utilisateurs.
AppsFlyer a publié une brève communication sur sa page d'état où il attribue ce qui est arrivé à un incident avec l'enregistreur de domaine qui, pendant une courte période, a permis la livraison de code non autorisé à partir du web de domaine SDK. La société note que le SDK mobile n'a pas été affecté et que, jusqu'à présent, il n'y a aucune preuve d'accès aux données des clients dans ses systèmes. La note de situation est disponible à l'adresse suivante: AppsFlyer - Statut d'incident.
Des situations telles que celle-ci mettent en évidence la fragilité de la chaîne d'approvisionnement des logiciels: des unités tierces, bien que nécessaires, présentent des risques qui peuvent être répartis en cascade. Les organisations et les développeurs devraient tenir compte de cette réalité en tant que partie intégrante de leur gestion des risques, en adoptant de bonnes pratiques en matière de vérification de l'intégrité, de contrôle des versions et de surveillance du trafic sortant.
Comme les entreprises concernées achèvent leurs enquêtes médico-légales avec une assistance externe, il y a des mesures pratiques qui devraient être envisagées immédiatement. Examiner les dossiers de télémétrie pour détecter les demandes inhabituelles à websdk.appsflyer.com, restaurer les versions antérieures et vérifiées du SDK, et vérifier tout script chargé à partir de domaines tiers sont des étapes raisonnables. En outre, il est prudent d'aviser les utilisateurs qui ont effectué des transferts aux dates de l'exposition possible de revoir leurs opérations dans la chaîne de blocs et, le cas échéant, de contacter les services de soutien des plateformes cryptographiques concernées.
Pour ceux qui déplacent ou gèrent cryptomonedas, cette menace met en valeur des pratiques simples mais efficaces : vérifier manuellement les adresses avant de coller, préférer des méthodes qui évitent l'édition directe du presse-papiers (codes QR, URI signé sur portefeuilles matériels), et maintenir les extensions de logiciels et de navigateurs quotidiennement. Il convient également de faire rapport sur les risques particuliers dans les bibliothèques et les SDK en consultant les ressources de sécurité dans la chaîne d'approvisionnement, comme les matériaux de la communauté de la sécurité des logiciels : OWASP - Sécurité de la chaîne d'approvisionnement.
Ce n'est pas la première fois qu'une unité AppsFlyer est apparue dans le cadre d'incidents plus importants, et la récurrence entraîne de nombreuses équipes de sécurité à examiner plus attentivement toute intégration de tiers. Pendant ce temps, les chercheurs et certains médias ont suivi l'affaire et AppsFlyer devrait publier plus de détails une fois son enquête médico-légale terminée et peut partager des résultats vérifiables.
Bref, cet épisode rappelle que la sécurité n'est pas seulement la responsabilité du prestataire de services concerné : lorsque vous faites confiance aux composants distribués dans des centaines de sites, la responsabilité est partagée entre les fournisseurs, les intégrateurs et ceux qui exploitent les services finaux. La leçon est claire : vérifier les dépendances, surveiller les comportements inhabituels et avoir un plan de réponse aux engagements dans la chaîne d'approvisionnement sont des pratiques qui ne sont plus facultatives dans un écosystème de plus en plus interconnecté.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...