Le malware TrapDoor cible les développeurs avec 34 paquets lors d'une attaque de la chaîne d'approvisionnement

Diana Chen

·May 25 2026, 07:49

Partager sur

Partager sur

Copier le lien

Points clés :

Une attaque de la chaîne d'approvisionnement nommée TrapDoor a déployé plus de 34 paquets malveillants sur les registres npm, PyPI et Crates.io.
Le malware vise à voler les identifiants des développeurs, les clés SSH, les jetons cloud et les portefeuilles crypto pour des chaînes telles que Sui, Solana et Aptos.
La campagne utilise une technique inédite pour détourner les assistants de codage IA en insérant des instructions cachées dans les fichiers de configuration de projet.

Une attaque coordonnée de la chaîne d'approvisionnement logicielle cible les développeurs crypto et IA avec plus de 34 paquets malveillants conçus pour voler des identifiants et des actifs numériques. La campagne, baptisée « TrapDoor » par la plateforme de développement Socket, a été détectée pour la première fois le 22 mai et s'étend aux registres de paquets open-source npm, PyPI et Crates.io.

« TrapDoor cible les développeurs des communautés crypto, DeFi, Solana et IA », a déclaré Socket dans un rapport publié dimanche. « Les paquets malveillants sont conçus pour voler les secrets des développeurs, les portefeuilles crypto, les clés SSH, les identifiants cloud, les données de navigation et les variables d'environnement. »

Cette campagne de malwares se distingue par son approche multiplateforme, utilisant différentes méthodes d'attaque pour chaque écosystème. Sur npm, elle utilise des hooks postinstall pour exécuter une charge utile de vol d'identifiants. Les paquets Python sur PyPI sont conçus pour récupérer et exécuter du JavaScript distant lors de l'importation, tandis que les paquets Rust sur Crates.io utilisent des scripts build.rs malveillants pour trouver et exfiltrer les keystores locaux. L'attaque cible spécifiquement les portefeuilles pour Sui, Solana et Aptos, entre autres.

L'opération révèle également un nouveau vecteur de menace qui tente de détourner les assistants de codage IA. Les attaquants ont soumis des pull requests à des projets IA populaires comme LangChain et Langflow, en ajoutant des instructions cachées dans des fichiers de configuration tels que .cursorrules et CLAUDE.md. Socket a précisé que l'objectif semble être de tromper les outils d'IA pour qu'ils lancent de faux « scans de sécurité » qui découvriraient et exfiltreraient les secrets de l'environnement d'un développeur, illustrant ainsi comment les attaquants évoluent pour cibler les flux de travail modernes des développeurs.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.