Les enquêteurs de Soclet ont découvert cette semaine une attaque de la chaîne d'approvisionnement surnommée Trapdoor, ciblant les développeurs crypto. Le logiciel malveillant se propage via des paquets compromis sur les dépôts npm, PyPI et Crates.io pour voler les clés de portefeuilles de cryptomonnaies et les secrets de développeurs. Contrairement aux arnaques crypto typiques, elle évite spécifiquement les utilisateurs ordinaires.
Comment Trapdoor se propage
Les attaquants ont injecté du code malveillant dans des bibliothèques logicielles en apparence légitimes. Les développeurs qui ont installé ces paquets empoisonnés sans vérification ont activé automatiquement le malware. Cela s'est produit via des gestionnaires de paquets de confiance que les développeurs utilisent quotidiennement.
Ce qui est volé
Le malware Trapdoor s'empare des clés de portefeuilles de cryptomonnaies et des identifiants de développement sensibles. Cela signifie que les portefeuilles de trésorerie de projet et les jetons de sécurité internes pourraient être compromis. Les développeurs pourraient ne pas réaliser que leurs systèmes diffusent des secrets jusqu'à ce que des fonds disparaissent.
Pourquoi les développeurs sont dans le viseur
Voler un seul développeur peut rapporter plus que cibler des utilisateurs finaux. Un portefeuille compromis peut contenir des fonds de projet ou donner accès à des bases de code entières. Ce n'est pas un vol aléatoire, c'est chirurgical. Les attaquants savent où se trouve la vraie valeur.
Actions immédiates en cours
Soclet travaille avec les mainteneurs de dépôts pour supprimer les paquets malveillants. Les développeurs doivent auditer leurs dépendances dès maintenant. Il n'y a pas encore de correctif, car Trapdoor se cache dans des mises à jour de code légitimes. Les prochaines 48 heures testeront la rapidité avec laquelle les équipes peuvent nettoyer leurs pipelines.
