La divulgation TrapDoor par Socket le 24 mai a recensé plus de 34 paquets malveillants et 384 versions associées sur npm, PyPI et Crates.io, chacun visant non pas les utilisateurs finaux, mais les développeurs qui construisent et déploient les protocoles DeFi. Les charges utiles ont emprunté les flux de travail ordinaires — hooks postinstall npm, récupérations à l'importation PyPI, scripts Rust build.rs — de sorte qu'un simple `npm install` ou `cargo build` constituait toute la surface d'attaque. Depuis une machine de développeur compromise, la campagne a atteint les dépôts, les pipelines CI/CD, les comptes cloud et les clés de déploiement : chaque catégorie d'identifiants qui régit la manière dont un protocole atteint le mainnet et reste mis à jour par la suite.
Pourquoi c'est important
TrapDoor a également tenté d'implanter des instructions cachées dans les fichiers de configuration d'assistants de code IA tels que .cursorrules et CLAUDE.md, en utilisant des caractères Unicode masqués pour orienter des outils comme Cursor et Claude Code vers la découverte et l'exfiltration de secrets. L'IA qui lit le dépôt devient le canal d'exfiltration. SafeDep a enregistré une campagne le 11 mai regroupant plus de 170 paquets npm et 2 paquets PyPI à travers TanStack, Mistral SDK, UiPath, OpenSearch et Guardrails AI ; StepSecurity a recensé cinq attaques majeures de la chaîne d'approvisionnement en 48 heures — dont une extension VS Code empoisonnée avec 2,2M d'installations — et Sonatype a comptabilisé plus de 454 600 nouveaux paquets malveillants rien qu'en 2025, portant le total cumulé au-delà de 1,233M. Le pipeline qui sert à expédier du code est désormais le pipeline qui sert à le voler.
Impact sur le marché
Le schéma du plan de contrôle a déjà un prix en DeFi. Resolv a perdu $23M en mars, Drift a perdu $285M en avril après que les attaquants ont combiné l'ingénierie sociale avec des signatures d'administrateur valides, et KelpDAO a perdu environ $292M le même mois lorsque l'infrastructure RPC et DVN hors chaîne a été compromise. Aucune de ces défaillances ne siégeait à l'intérieur du contrat audité. TRM Labs chiffre le vol de cryptomonnaies lié à la Corée du Nord à environ $577M jusqu'en avril 2026 — 76% de toutes les pertes crypto sur la période — et Chainalysis a enregistré plus de $3,4B de vols totaux de services crypto en 2025, les trois plus grands incidents représentant à eux seuls 69%. Si un compromis de type TrapDoor atteint les clés de déployeur, l'infrastructure des validateurs de pont ou les identifiants d'administrateur d'un protocole de taille moyenne à grande, le scénario baissier ajoute $100M à $300M au total cumulé de 2026, poussant les pertes annuelles DeFi vers ou au-dessus de $1B. Contenu, la fenêtre de détection moyenne de 5 minutes 56 secondes de Socket combinée à une rotation rapide des identifiants maintient la courbe des pertes proche de la base 2025 d'Immunefi de $680M. La couche des smart contracts a mûri — la taille médiane des incidents Immunefi est passée de $6M en 2022 à $1.5M en 2025 — mais les attaquants ont déjà migré en amont vers les systèmes qu'un audit de contrat ne voit jamais.
Questions fréquemment posées
-
Qu'est-ce que la divulgation TrapDoor de Socket ?
Socket a publié la divulgation TrapDoor le 24 mai, documentant plus de 34 paquets malveillants et 384 versions associées sur npm, PyPI et Crates.io. Les paquets ciblaient les développeurs DeFi via des hooks postinstall, des récupérations à l'importation et des scripts Rust build.rs, exposant les dépôts, les…
-
Comment TrapDoor cible-t-il les assistants de code IA ?
TrapDoor a tenté d'injecter des instructions Unicode cachées dans des fichiers de configuration d'assistants IA tels que .cursorrules et CLAUDE.md. L'objectif était d'orienter des outils comme Cursor et Claude Code vers la découverte et l'exfiltration de secrets, transformant l'assistant IA lui-même en canal…
-
Qu'est-ce que le schéma d'attaque du plan de contrôle en DeFi ?
Le schéma du plan de contrôle cible la couche opérationnelle autour d'un smart contract — permissions de déployeur, validateurs de pont, infrastructure cloud, clés d'admin, points d'accès RPC hors chaîne, et désormais les machines de développeurs et pipelines CI/CD. Resolv ($23M), Drift ($285M) et KelpDAO (~$292M) ont…
-
Combien un exploit de type TrapDoor pourrait-il ajouter aux pertes DeFi de 2026 ?
Les données de Socket, Chainalysis, TRM Labs et Immunefi situent le scénario baissier entre $100M et $300M pour un seul compromis de protocole de taille moyenne à grande atteignant les clés de déployeur, l'infrastructure des validateurs de pont ou les identifiants d'administrateur. Cela pousserait les pertes DeFi 2026…
-
Qu'est-ce qui limite les dégâts si un paquet TrapDoor atterrit dans un build ?
Les systèmes de Socket ont enregistré un temps de détection moyen de 5 minutes et 56 secondes. Dans un cas contenu : détection rapide plus rotation immédiate des identifiants exposés maintient la courbe des pertes proche de la base 2025 d'Immunefi de $680M et limite la campagne à de l'hygiène des identifiants et du…