Partager cet article
Les données des portefeuilles Solana, Sui et Aptos ciblées dans une attaque par package TrapDoor
La campagne cible les développeurs de cryptomonnaies, DeFi, IA et sécurité avec de faux packages d'outils pour voler des portefeuilles, des clés SSH, des jetons GitHub, des identifiants cloud et des données de navigateur.
Ce qu'il:
- Une campagne de chaîne d'approvisionnement nouvellement découverte, appelée TrapDoor, a implanté plus de 34 paquets malveillants sur npm, PyPI et Crates.io afin de cibler les développeurs crypto et cloud.
- Les packages, déguisés en utilitaires de développement banals et outils de sécurité, ont été conçus pour voler des clés SSH, des fichiers de portefeuilles, des identifiants AWS, des jetons GitHub, des données de navigation et d'autres fichiers de configuration sensibles.
- Des chercheurs indiquent que les attaquants ont également exploité des fichiers de configuration IA tels que .cursorrules et CLAUDE.md contenant des instructions cachées, visant à détourner les futures sessions de codage IA pour exécuter de faux scans de sécurité et exfiltrer des secrets.
Une nouvelle campagne de vol de cryptomonnaies cible les développeurs les plus susceptibles de disposer sur leurs machines des clés de portefeuille, des identifiants cloud et des accès à la production.
Des chercheurs de la société de sécurité Socket ont déclaré plus tôt cette semaine avoir identifié une attaque de la chaîne d'approvisionnement appelée TrapDoor se propageant à travers trois grands registres de programmation open-source, avec plus de 34 paquets malveillants et des centaines de versions et d'artefacts associés.
Une importante conclusion est que les attaquants deviennent de plus en plus ciblés. En plus de l'ingénierie sociale, qui vise les individus détenant des informations clés, les attaques par la chaîne d'approvisionnement sont conçues non pas pour piéger des utilisateurs particuliers au hasard, mais des développeurs. Ce sont précisément ces personnes qui peuvent avoir des fichiers de portefeuille, des clés SSH, des jetons GitHub, des identifiants cloud et un accès à la production sur la même machine qu'elles utilisent pour développer des outils crypto et AI.
Socket n’a pas identifié de victimes ni de fonds volés, mais a indiqué que les packages étaient actifs sur npm, PyPI et Crates.io et contenaient des charges utiles capables de voler des données de portefeuille, d'exfiltrer des identifiants, de tester des jetons AWS et GitHub, et de laisser des fichiers pour maintenir un accès actif.
Les packages programmés en JavaScript, Python et Rust étaient déguisés en outils d’aide aux développeurs, scanners de sécurité, outils de portefeuille, utilitaires Solidity, packages de prompts IA et assistants de construction Sui ou Move.
Ennuyeux par conception
Les noms étaient ennuyeux par conception. Les packages étaient nommés "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard," "move-compiler-tools" et "llm-context-compressor," ressemblant au type de petits utilitaires qu'un développeur crypto ou IA pourrait installer sans trop y réfléchir.
Une fois installés, toutefois, les charges utiles ont tenté de récupérer bien plus que les données du paquet.
Dans les packages npm, le logiciel malveillant recherchait sur la machine d’un développeur des clés privées, des mots de passe, des jetons GitHub et des identifiants cloud. Il testait également certaines informations d'identification volées, tentait de se propager vers d’autres systèmes via des clés SSH et laissait des fichiers susceptibles de maintenir l'infection active.
Les clés SSH sont des fichiers de connexion que les développeurs utilisent pour accéder aux serveurs, aux dépôts de code et à d'autres machines. En cas de vol, elles peuvent permettre à un attaquant de passer d'un ordinateur portable compromis à l'infrastructure plus large d'une entreprise.
L'attaque utilise également des fichiers tels que .cursorrules et claude.md, qui permettent aux développeurs de donner des instructions spécifiques au projet aux outils de codage IA. Socket a indiqué que la campagne avait inséré des instructions cachées en utilisant des caractères Unicode à largeur nulle, apparemment dans le but de faire exécuter lors de futures sessions d'assistants IA de faux « scans de sécurité » qui recueillaient et exfiltraient des secrets.
Cela a transformé l'attaque, initialement une simple soustraction de paquets, en une forme de malware davantage ciblée sur l'environnement de développement. L'installation du paquet n'est que la première étape, la véritable cible étant la station de travail, notamment les portefeuilles, dépôts, données de navigation, clés cloud, accès SSH ainsi que tous les outils d'IA de codage consultés par la suite.
Les packages Rust utilisaient des scripts build.rs malveillants s'exécutant lors de la compilation, ciblant les développeurs sui et move. Les packages PyPI exécutaient du JavaScript distant à l'importation. Les packages sur npm utilisaient des hooks postinstall.
Socket a déclaré avoir signalé les packages aux registres concernés et avoir classé les packages de la campagne comme malveillants. La société a également averti que l’attaquant avait ouvert des demandes de tirage (pull requests) sur des projets d’IA et de développement, tentant d’ajouter des fichiers .cursorrules et CLAUDE.md via les voies habituelles de contribution open source.
Plus pour vous
Dans l'édition de cette semaine de The Protocol Newsletter, nous plongeons au cœur de l'institution qui a été le principal gestionnaire de la blockchain Ethereum, et pourquoi elle est de nouveau sous les projecteurs.
Ce qu'il:
Bienvenue à Le Protocole, la newsletter technologique de CoinDesk couvrant les histoires les plus importantes de la blockchain. Je suis Margaux Nijkerk, journaliste chez CoinDesk.
Nous révisons la newsletter pour vous offrir une analyse approfondie des tendances majeures, des avancées et des débats qui façonnent la technologie blockchain chaque...
À la une
