- Le malware TrapDoor se propage via de faux packages de développement crypto à travers les registres.
- Les attaquants ont ciblé des clés SSH, des tokens AWS et des identifiants de portefeuille dans des versions à travers le monde.
- Les chercheurs ont relié les téléchargements coordonnés aux écosystèmes d’outils Aptos, Sui et Solana.
Des chercheurs ont découvert une campagne de malware coordonnée visant les développeurs de cryptomonnaies via de faux logiciels disséminés dans les principaux registres de codage. L’opération, nommée TrapDoor, se concentrait sur des environnements de développement connectés à des écosystèmes blockchain tels qu’Aptos, Sui et Solana. Les analystes de la sécurité ont averti que la campagne visait à voler des identifiants sensibles sur les machines utilisées dans les flux de travail de développement cryptographique.
Des chercheurs de Socket Security ont découvert plus de 34 paquets malveillants répartis sur npm, PyPI et Crates.io. Au total, la campagne comprenait plus de 384 versions en paquets. Les attaquants ont conçu le logiciel pour qu’il paraisse légitime en imitant les utilitaires de développement populaires et les outils blockchain.
Malware vise les identifiants des développeurs
Les paquets malveillants ciblaient des informations de grande valeur stockées sur les systèmes développeurs. Le malware a recherché des clés SSH, des identifiants AWS, des jetons d’accès GitHub, des boutiques de clés de portefeuille et des bases de données de connexion de navigateur. Par conséquent, des systèmes compromis pourraient exposer à la fois des infrastructures personnelles et d’entreprise liées à des projets cryptographiques.
Les chercheurs ont identifié plusieurs packages Rust suspects sur Crates.io, notamment sui-framework-helpers, move-analyzer-build et sui-move-build-helper. De plus, les packages npm portaient des noms tels que crypto-credential-scanner et wallet-security-checker. Les packages PyPI comprenaient eth-security-auditor et defi-risk-scanner.
Les attaquants s’appuyaient sur des méthodes d’exécution automatisées au sein de chaque écosystème de programmation. les packages npm abusaient des hooks post-installation, tandis que les modules Python s’exécutaient lors des importations. Les paquets Rust sont activés via des scripts build.rs pendant la compilation. Ainsi, les développeurs pouvaient infecter leurs machines lors des procédures d’installation normales sans remarquer de comportement suspect.
Le déploiement coordonné a suscité des inquiétudes
Les chercheurs de sockets ont retracé le plus ancien package connu jusqu’à un envoi PyPI appelé [email protected]. Le coffret est apparu vendredi soir, suivi d’une version compilée de la roue quelques minutes plus tard. De plus, les chercheurs ont observé des vagues de téléchargement très regroupées sur plusieurs registres et comptes utilisateurs.
Le schéma de déploiement suggérait une coordination organisée plutôt qu’une expérimentation isolée. Les chercheurs ont noté que les attaquants ont délibérément choisi des noms associés à l’infrastructure crypto, aux outils DeFi, aux cadres d’IA et aux utilitaires d’audit de sécurité. Ces environnements stockent souvent des identifiants financiers et des clés d’authentification privilégiées.
Les environnements de développement crypto font face à des menaces croissantes
La campagne TrapDoor met en lumière les risques croissants entourant les écosystèmes logiciels open source soutenant des projets d’actifs numériques. Les développeurs installent fréquemment des packages tiers pour accélérer les flux de travail, notamment dans les secteurs blockchain à forte évolution. Cependant, les attaquants continuent d’exploiter cette confiance pour accéder à des infrastructures sensibles.
Les experts en sécurité ont exhorté les développeurs à vérifier soigneusement les responsables des paquets avant l’installation. De plus, les organisations doivent surveiller le comportement des dépendances lors des processus de compilation et isoler les identifiants critiques des machines de développement. Les chercheurs ont décrit la campagne comme relativement petite en échelle mais potentiellement sévère en impact en raison de la valeur des systèmes ciblés.
En lien : La Russie se débarrasse de l’or, passe au XRP sous la pression des sanctions
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
