Le logiciel malveillant TrapDoor infecte 34 packages de développement et vole des clés et des portefeuilles cryptographiques
La société de sécurité Socket a identifié une attaque coordonnée sur la chaîne d'approvisionnement le 22 mai 2026. Les chercheurs ont trouvé 34 packages malveillants couvrant 384 versions sur npm, PyPI et Crates.io. La campagne, nommée TrapDoor, ciblait les développeurs de crypto, de finance décentralisée (DeFi) et d'intelligence artificielle (IA). Le premier package confirmé, eth-security-auditor@0.1.0, est apparu sur PyPI le 22 mai 2026 à 20h20 UTC. La campagne a distribué 21 packages sur npm, sept sur PyPI et six sur Crates.io. Les packages utilisaient des noms trompeurs tels que prompt-engineering-toolkit, solidity-deploy-guard et defi-threat-scanner.
Les clés SSH, les portefeuilles et les informations d'identification cloud sont tous ciblés.TrapDoor utilisait une méthode d'exécution différente dans chaque registre. Dans npm, les hooks de post-installation exécutaient une charge utile JavaScript de 1 149 lignes nommée trap-core.js. Dans PyPI, les packages récupéraient et exécutaient un script distant à partir des pages GitHub lors de l'importation. Dans Crates.io, des scripts build.rs malveillants ont exfiltré les magasins de clés de chiffrement locaux à l'aide du cryptage XOR.
Les données volées comprenaient des clés Secure Shell (SSH), des données de portefeuille de Coinbase, Binance, Solana, Sui, Aptos et MetaMask. Les informations d'identification cloud, les jetons GitHub, les bases de données de connexion du navigateur et les clés API étaient également concernés. Le composant Crates.io ciblait les développeurs Sui et Move. Il a extrait les magasins de clés du portefeuille du stockage local.
L'attaquant a transformé les outils de codage de l'IA en agents de vol d'informations d'identification. L'attaquant a empoisonné deux fichiers de configuration du projet : .cursorrules, utilisé par l'éditeur Cursor, et CLAUDE.md, utilisé par l'assistant de codage Claude. Les caractères Unicode de largeur nulle masquaient des commandes malveillantes dans les deux fichiers. Lorsqu’un outil de codage IA lisait l’un ou l’autre fichier, il exécutait ce qui semblait être une analyse de sécurité de routine. L'analyse a exfiltré les informations d'identification du développeur vers l'infrastructure de l'attaquant. La campagne a également soumis des demandes d'extraction empoisonnées aux projets d'IA LangChain, MetaGPT et OpenHands.
"détournez votre assistant de codage AI", 25 mai 2026.
— Ahmad Nassri, directeur technique, Socket
Socket a détecté les 34 packages en moins de six minutes. Socket a signalé les 34 packages en moins de six minutes en moyenne après la publication de chacun. La détection individuelle la plus rapide a duré 58 secondes. L’attaquant opérait à partir d’un seul compte GitHub – ddjidd564 – hébergeant des charges utiles sur ddjidd564.github.io. La campagne portait le marqueur interne P-2024-001. Socket n'a signalé aucun nombre confirmé d'environnements de développement infectés au moment de la publication. Les responsables du registre de npm, PyPI et Crates.io ont reçu des rapports sur les 34 packages. TrapDoor a utilisé une méthode d'exécution différente dans chaque registre. Dans npm, les hooks de post-installation exécutaient une charge utile JavaScript de 1 149 lignes nommée trap-core.js. Dans PyPI, les packages récupéraient et exécutaient un script distant à partir des pages GitHub lors de l'importation. Dans Crates.io, des scripts build.rs malveillants ont exfiltré les magasins de clés de chiffrement locaux à l'aide du cryptage XOR.
Les données volées comprenaient des clés Secure Shell (SSH), des données de portefeuille de Coinbase, Binance, Solana, Sui, Aptos et MetaMask. Les informations d'identification cloud, les jetons GitHub, les bases de données de connexion du navigateur et les clés API étaient également concernés. Le composant Crates.io ciblait les développeurs Sui et Move. Il a extrait les magasins de clés du portefeuille du stockage local.
L'attaquant a transformé les outils de codage de l'IA en agents de vol d'informations d'identification. L'attaquant a empoisonné deux fichiers de configuration du projet : .cursorrules, utilisé par l'éditeur Cursor, et CLAUDE.md, utilisé par l'assistant de codage Claude. Les caractères Unicode de largeur nulle masquaient des commandes malveillantes dans les deux fichiers. Lorsqu’un outil de codage IA lisait l’un ou l’autre fichier, il exécutait ce qui semblait être une analyse de sécurité de routine. L'analyse a exfiltré les informations d'identification du développeur vers l'infrastructure de l'attaquant. La campagne a également soumis des demandes d'extraction empoisonnées aux projets d'IA LangChain, MetaGPT et OpenHands.
"détournez votre assistant de codage AI", 25 mai 2026.
— Ahmad Nassri, directeur technique, Socket
Socket a détecté les 34 packages en moins de six minutes. Socket a signalé les 34 packages en moins de six minutes en moyenne après la publication de chacun. La détection individuelle la plus rapide a duré 58 secondes. L’attaquant opérait à partir d’un seul compte GitHub – ddjidd564 – hébergeant des charges utiles sur ddjidd564.github.io. La campagne portait le marqueur interne P-2024-001. Socket n'a signalé aucune confirmation