Une nouvelle attaque de la chaîne d'approvisionnement, baptisée « TrapDoor », cible les développeurs de cryptomonnaies en implantant des paquets malveillants qui détournent les assistants de codage IA populaires, selon un rapport publié cette semaine par la société de sécurité des chaînes d'approvisionnement logicielles Socket. La campagne siphonne directement les cryptomonnaies des portefeuilles des victimes, exploitant la confiance que les développeurs accordent aux outils de codage automatisés.
Comment fonctionne TrapDoor
Les chercheurs de Socket ont identifié un ensemble de paquets malveillants téléchargés sur des dépôts publics. Une fois installé, le logiciel malveillant injecte des instructions cachées dans la sortie des assistants de codage IA — des outils sur lesquels de nombreux développeurs comptent pour des suggestions et de l'auto-complétion. Ces instructions incitent ensuite le développeur à approuver des transactions ou à exposer des clés privées, transformant ainsi l'assistant IA en vecteur de vol.
La campagne ne cache pas sa cible : les paquets sont spécifiquement conçus pour interagir avec les environnements de développement de cryptomonnaies. Socket indique que le logiciel malveillant vérifie la présence de logiciels de portefeuille et de bibliothèques blockchain courantes avant de s'activer.
Pourquoi les outils IA sont la nouvelle cible
En détournant l'assistant IA lui-même, TrapDoor contourne les mécanismes traditionnels de vérification du code. Un développeur voit une suggestion d'apparence normale, l'accepte, et l'assistant exécute la charge utile de l'attaquant. L'attaque ne nécessite pas d'exploiter une faille zero-day dans l'outil IA — il suffit de tromper l'humain qui lui fait confiance.
Le rapport de Socket ne précise pas quels assistants de codage IA ont été touchés, mais la technique fonctionne sur tout assistant qui traite des paquets installés par l'utilisateur. L'entreprise a prévenu que l'attaque pourrait passer inaperçue jusqu'à ce que les fonds soient vidés.
Que peuvent faire les développeurs maintenant
Socket recommande d'auditer toutes les dépendances installées au cours des 30 derniers jours, en particulier les paquets liés à l'intégration de portefeuilles ou à la signature de transactions. Ils conseillent également de désactiver les suggestions d'acceptation automatique des assistants de codage jusqu'à ce qu'un inventaire complet soit réalisé. L'entreprise a publié une liste des noms de paquets malveillants connus sur son blog.
L'attaque souligne un risque croissant : à mesure que les développeurs de cryptomonnaies s'appuient davantage sur les outils IA, la chaîne d'approvisionnement devient une cible plus facile. TrapDoor est la première campagne documentée publiquement à utiliser des assistants de codage IA comme arme pour voler des cryptomonnaies, mais elle ne sera pas la dernière.
