La campagne de logiciels malveillants TrapDoor infiltre les chaînes d'approvisionnement des développeurs pour cibler les projets de cryptographie et d'IA

Table des matières Une opération malveillante sophistiquée s'infiltre dans la chaîne logistique de développement de logiciels, intégrant du code malveillant dans des packages que les programmeurs travaillant sur des projets de cryptomonnaie et d'intelligence artificielle intègrent régulièrement dans leurs applications. 🚨 RUPTURE : attaque active de la chaîne d'approvisionnement sur npm, PyPI et Crates.​io. Socket a détecté TrapDoor, une campagne de vol de crypto-monnaie touchant 34 packages malveillants et 384 versions et artefacts, les attaquants diffusant à plusieurs reprises de nouvelles versions dans tous les écosystèmes. Cibles de TrapDoor… pic.twitter.com/0CI758NJ6T — Socket (@SocketSecurity) 24 mai 2026 Les chercheurs en cybersécurité de Socket ont publié dimanche des résultats complets documentant la campagne d'attaque, qu'ils ont désignée « TrapDoor ». Selon le calendrier de Socket, la découverte initiale a eu lieu vendredi. Au cours de cette brève période, les acteurs malveillants ont déployé avec succès plus de 34 packages compromis ainsi que 384 versions associées distribuées sur plusieurs plates-formes de référentiels de développeurs. Le malware fonctionne comme un outil d’exfiltration de données conçu pour capturer des informations confidentielles. Sa portée englobe les informations d'identification du portefeuille de crypto-monnaie, les clés d'authentification du shell sécurisé, les jetons d'accès à l'infrastructure cloud, les jetons d'accès personnels GitHub, les informations d'extension du navigateur et les clés d'interface de programmation d'applications. Ahmad Nassri, directeur de la technologie chez Socket, a vérifié que le malware cible spécifiquement de nombreuses plateformes de portefeuille de cryptomonnaies de premier plan. La liste ciblée comprend Coinbase, Binance, Solana, Sui, Aptos et MetaMask. De plus, les fonctionnalités de portefeuille intégrées du navigateur Brave sont incluses dans la portée de l’attaque. Un élément particulièrement innovant distingue TrapDoor des malwares classiques. Les usines d'exploitation dissimulaient des directives au sein d'assistants de développement alimentés par l'IA, ciblant particulièrement Claude et Cursor. Ces instructions intégrées manipulent les outils pour exécuter ce qui se fait passer pour un audit de sécurité légitime, ce qui amène ensuite l'assistant IA à localiser et à transmettre des informations confidentielles alors que le développeur n'en est absolument pas conscient. Les packages compromis ont infiltré trois principaux écosystèmes de packages de développeurs. Ces plateformes incluent npm, le référentiel standard pour les communautés de développement JavaScript et Node.js ; PyPI, largement utilisé dans les projets de science des données, d'apprentissage automatique et d'automatisation ; et Crates, au service de la base de développeurs du langage de programmation Rust. La nomenclature des packages malveillants a été conçue pour imiter les ressources de développement légitimes. L'analyse de Socket a révélé qu'ils ont été conçus pour usurper l'identité d'utilitaires de développement courants, de cadres d'initialisation de projet, de bibliothèques de routage de modèles et d'outils de compilation pour les plates-formes blockchain Solidity, Sui et Move. Ce déguisement stratégique confère à la campagne une portée étendue au sein des communautés de développeurs s'engageant régulièrement dans l'intégration de portefeuilles de crypto-monnaie, la gestion de l'infrastructure cloud et les flux de travail de collaboration GitHub. L’enquête de Socket a identifié des indicateurs suggérant une aide de l’intelligence artificielle dans l’exécution de la campagne. Les référentiels GitHub présentaient des caractéristiques telles que des structures de structure étendues axées sur la sécurité, des référentiels leurres génériques et des documents de référence à injection rapide intégrés à des éléments fonctionnels de logiciels malveillants. GitHub a servi de canal de distribution principal pour les packages compromis. Notamment, la plateforme avait déjà divulgué un incident de sécurité distinct le 20 mai, impliquant une pénétration non autorisée des référentiels de codes internes suite à la compromission réussie de l'appareil informatique d'un membre du personnel. Socket a documenté que le délai médian de détection des versions de packages malveillants était de 5 minutes et 27 secondes. L’identification la plus rapide s’est produite seulement 58 secondes après la publication d’un colis. Cette attaque illustre un schéma croissant d'acteurs malveillants introduisant des packages contaminés dans les référentiels des développeurs, exploitant le fait que les programmeurs installent fréquemment des dépendances en tant que procédures de flux de travail standard, généralement sans contrôle de sécurité rigoureux. Socket s'est abstenu d'attribuer TrapDoor à des acteurs de menace particuliers ou à des groupes cybercriminels organisés. Au moment de la publication, la campagne restait opérationnellement active.