La divulgation par Socket, le 24 mai, de la campagne TrapDoor a révélé plus de 34 paquets malveillants et 384 versions associées réparties sur npm, PyPI et Crates.io — chacun ciblant les développeurs qui construisent des protocoles DeFi, et non les contrats eux-mêmes. Les charges utiles livrées via des hooks postinstall, des scripts déclenchés par importation et des fichiers de construction Rust signifient qu'une seule installation de paquet suffit pour compromettre la machine d'un développeur, voler des clés SSH, des jetons GitHub et des identifiants cloud, et ouvrir un chemin vers les pipelines CI/CD et les clés de déploiement qui régissent la façon dont les protocoles atteignent le mainnet.
La campagne a également tenté d'implanter des instructions Unicode cachées dans des fichiers de configuration d'assistants de codage AI comme .cursorrules et CLAUDE.md, transformant efficacement les flux de travail assistés par AI en mécanismes d'exfiltration.
TheBlock
Lookonchain
WuBlockchain