Chargement des prix…
🩸BEARISH

TrapDoor vise les devs Solana, Sui et DeFi via npm, PyPI et Crates.io

La vraie cible n'est pas le fichier wallet d'un développeur — c'est la station de travail, là où les clés SSH, les identifiants AWS, les tokens GitHub et les sessions de code IA actives cohabitent sur la même machine.

TrapDoor vise les devs Solana, Sui et DeFi via npm, PyPI et Crates.io
TrapDoor vise les devs Solana, Sui et DeFi via npm, PyPI et Crates.io
TrapDoor vise les devs Solana, Sui et DeFi via npm, PyPI et Crates.io
TrapDoor vise les devs Solana, Sui et DeFi via npm, PyPI et Crates.io

Des chercheurs de la société de sécurité Socket ont divulgué cette semaine une campagne de supply chain baptisée TrapDoor, identifiant plus de 34 paquets malveillants répartis sur npm, PyPI et Crates.io, avec des centaines de versions et d'artefacts liés. Les paquets se faisaient passer pour de l'outillage développeur banal — des noms comme « wallet-security-checker », « defi-risk-scanner », « solidity-build-guard » et « move-compiler-tools » — et étaient spécifiquement thématisés pour attirer les développeurs Solana, Sui, Aptos, DeFi, IA et sécurité détenant de vrais identifiants sur leurs machines de build.

Une fois installés, les payloads s'exécutaient différemment selon les écosystèmes : les paquets Rust utilisaient des scripts build.rs malveillants pour s'exécuter pendant la compilation, ciblant les développeurs Sui et Move ; les paquets PyPI exécutaient du JavaScript distant à l'import ; les paquets npm utilisaient des hooks postinstall. Le malware fouillait les machines des développeurs à la recherche de clés privées, fichiers de wallet, tokens GitHub, identifiants AWS et clés SSH, testait les identifiants volés, et déposait des fichiers conçus à maintenir l'accès actif pour faciliter le mouvement latéral vers l'infrastructure de l'entreprise.

Pourquoi c'est important

Les attaques de supply chain sont conçues pour piéger les personnes les plus susceptibles de détenir les clés, et non de simples utilisateurs retail. Les paquets TrapDoor étaient thématisés pour les ingénieurs crypto et IA précisément parce que ces développeurs ont tendance à conserver fichiers de wallet, clés SSH, tokens GitHub, identifiants cloud et accès production sur la même machine que celle qu'ils utilisent pour compiler. Les clés SSH volées en particulier peuvent permettre à un attaquant de pivoter depuis un simple laptop compromis vers l'infrastructure plus large d'une entreprise.

La campagne a également abusé de fichiers de configuration IA comme .cursorrules et CLAUDE.md, plantant des instructions cachées à l'aide de caractères Unicode zéro-largeur. L'objectif était de faire en sorte que les futures sessions d'assistant de code IA exécutent de faux « scans de sécurité » qui collectaient et exfiltraient des secrets — transformant un voleur de paquets en malware d'environnement développeur où l'installation du paquet n'est que la première étape.

Impact marché

Socket a déclaré avoir signalé les paquets aux registres concernés et classé la campagne comme malveillante, mais n'a pas nommé de victimes identifiées ni chiffré les fonds volés.

Tokens associés
$SOL $APT $SUI

Questions fréquemment posées

  1. Qu'est-ce que l'attaque de supply chain TrapDoor ?

    TrapDoor est une campagne de supply chain divulguée par la société de sécurité Socket qui a planté plus de 34 paquets malveillants sur npm, PyPI et Crates.io, déguisés en utilitaires développeur thématisés crypto, DeFi, IA et sécurité.

  2. Que volaient concrètement les paquets TrapDoor ?

    Les paquets fouillaient les machines des développeurs à la recherche de fichiers de wallet, clés privées, clés SSH, tokens GitHub, identifiants AWS et données navigateur, testaient les identifiants volés sur des services actifs, et déposaient des fichiers de persistance pour un accès ultérieur.

  3. Comment les paquets ciblaient-ils spécifiquement les développeurs Solana, Sui et Aptos ?

    Les noms des paquets étaient choisis pour ressembler à de l'outillage courant que ces développeurs pouvaient installer — « solidity-build-guard », « move-compiler-tools » et similaires — tandis que les payloads Rust utilisaient des scripts build.rs malveillants qui s'exécutaient à la compilation pour cibler les…

  4. Quel est l'angle .cursorrules et CLAUDE.md dans l'attaque TrapDoor ?

    Les attaquants ont planté des instructions cachées dans des fichiers de configuration IA via des caractères Unicode zéro-largeur, dans le but de faire exécuter aux futures sessions d'assistant de code IA de faux « scans de sécurité » exfiltrant des secrets depuis l'environnement du développeur.

  5. Quelqu'un a-t-il confirmé des pertes liées à la campagne TrapDoor ?

    Socket a déclaré avoir signalé les paquets aux registres concernés et les avoir classés comme malveillants, mais n'a pas nommé de victimes spécifiques ni chiffré les fonds volés. L'attaquant a aussi ouvert des pull requests contre des projets IA et développeurs pour élargir la distribution via les canaux classiques de…

Attribution de la source
Agrégé de CoinDesk · Vérifié · Dernière mise à jour il y a 48d
Ouvrir l'original →