Des chercheurs en sécurité ont découvert qu'une campagne de logiciel malveillant nommée TrapDoor se propage à travers plusieurs dépôts de logiciels open source, affectant l'écosystème de dépendances utilisé par les développeurs de cryptomonnaies et de blockchain. Les attaquants ciblent non seulement les fichiers locaux, mais aussi des données hautement sensibles telles que les clés de portefeuille, les identifiants de services cloud et les jetons d'accès aux dépôts de code.
Trois dépôts open source présentent simultanément des paquets malveillants
Cette campagne couvre trois écosystèmes de paquets principaux : npm, PyPI et Crates.io. Les chercheurs ont identifié plus de 30 paquets malveillants, avec plus de 300 versions affectées, apparues en peu de temps.
Le rapport indique que cette campagne a commencé à s'intensifier vers le 22 mai environ. Parallèlement, GitHub a signalé le 20 mai un accès non autorisé à ses dépôts internes. Les informations disponibles montrent que ces paquets malveillants n'ont pas été téléchargés de manière isolée, mais ont été déposés par plusieurs comptes en plusieurs lots afin de réduire la probabilité d'être détectés précocement.
Déclenché dès les phases d'installation et de compilation
La propagation de TrapDoor repose sur les processus d'installation et de construction utilisés quotidiennement par les développeurs. Les paquets JavaScript peuvent s'exécuter automatiquement après l'installation des dépendances via un script post-install ; les paquets Python peuvent être déclenchés au moment de l'importation ; les paquets Rust peuvent s'exécuter à la compilation grâce à des scripts de construction.
Après l'exécution du code malveillant, il scanne les informations sensibles du système local, notamment les clés SSH, les jetons API, les variables d'environnement et les fichiers de configuration courants. Certains échantillons lisent également les informations d'authentification enregistrées dans le navigateur et envoient les données volées à un serveur externe contrôlé par l'attaquant.
Les chercheurs ont également mentionné que certains échantillons tentent de modifier le processus de démarrage ou d'insérer des crochets malveillants dans les outils de développement afin de maintenir un accès ultérieur.
Le portefeuille, AWS et GitHub sont ciblés en priorité
Du point de vue des cibles, cette attaque vise clairement les environnements de développement cryptographique. Le logiciel malveillant collecte des données liées aux portefeuilles cryptographiques et tente d’obtenir des identifiants AWS et des jetons d’accès GitHub. Une fois ces informations compromises, les attaquants pourraient accéder à des dépôts de code privé, aux processus de déploiement et aux systèmes backend.
Outre les permissions cloud et code, les clés SSH constituent également une cible majeure. Si ces clés sont volées, un attaquant pourrait en profiter pour accéder aux appareils des développeurs, voire se connecter aux serveurs de production. Pour les projets cryptographiques, cela signifie que le risque ne se limite pas aux terminaux individuels, mais peut également se propager à l'infrastructure et à la chaîne de publication.
Les outils de codage IA ont également été intégrés à la chaîne d'attaque
Un autre aspect de cette campagne est l'utilisation d'environnements de développement assistés par l'IA. Certains paquets malveillants contiennent des fichiers de configuration tels que .cursorrules et CLAUDE.md, destinés à influencer la compréhension et l'exécution des instructions du projet par les assistants de codage IA.
Les rapports indiquent que les attaquants ne se contentent pas d'exploiter des codes malveillants traditionnels, mais tentent également d'utiliser les flux de travail des outils d'IA pour les amener à exposer des informations sensibles ou à effectuer des opérations inappropriées. Cela montre que les attaques de chaîne d'approvisionnement s'étendent désormais au-delà du niveau du code, jusqu'aux chaînes d'outils automatisés utilisées par les développeurs.