Les chercheurs de Soclet ont découvert une nouvelle attaque par compromission de la chaîne d'approvisionnement visant les développeurs du secteur des cryptomonnaies qui utilisent des paquets npm, PyPI et Crates.io. Cette campagne, baptisée « Trapdoor », vise principalement à dérober les clés de portefeuilles cryptographiques et d'autres informations confidentielles aux développeurs de ce secteur.
Le malware Trapdoor : une attaque massive visant la chaîne d'approvisionnement des développeurs de cryptomonnaies
ÉCRIT PAR
PARTAGER
Points clés
- Le 22 mai, Soclet a découvert que le malware Trapdoor infectait 34 paquets destinés aux développeurs afin de voler des portefeuilles et des clés cryptographiques.
- Couvrant 384 versions, cette campagne trompe les outils d'IA et a un impact considérable sur le marché du développement.
- Après une attaque similaire en septembre, Soclet avertit que les développeurs doivent désormais sécuriser leurs environnements d'IA contre le vol de cryptomonnaies.
Le stratagème d'attaque de la chaîne d'approvisionnement Trapdoor cible les développeurs pour un rendement maximal
Alors que certaines campagnes de logiciels malveillants ciblent les utilisateurs quotidiens de cryptomonnaies, d'autres se concentrent sur les développeurs, visant à capturer des cibles plus susceptibles de détenir d'importantes quantités de cryptomonnaies et d'avoir accès à des ressources plus étendues.
Les chercheurs de Socket, une entreprise spécialisée dans la prévention des attaques de la chaîne d'approvisionnement, ont identifié une vaste campagne ciblant les développeurs de cryptomonnaies à l'aide de paquets infectés sur npm, PyPI et Crates.io.
Baptisée « Trapdoor », cette attaque de la chaîne d'approvisionnement s'étend sur 34 paquets dans ces environnements de développement, couvrant plus de 384 versions, dont certaines sont encore disponibles. Socket a indiqué que les paquets affectés ont été publiés par vagues à partir du 22 mai, puis mis à jour tout au long du week-end suivant.
Ces paquets se sont distingués par leur nature, car ils auraient représenté des outils de développement génériques et sont apparus en succession rapide sur différents registres. Cela confère à la campagne « une large portée au sein des communautés de développeurs adjacentes où des portefeuilles cryptographiques, des identifiants cloud, des jetons Github et des clés SSH sont susceptibles d’être présents », a estimé Socket.
Les paquets infectés envahissent l'environnement de développement des développeurs de cryptomonnaies, en tirant parti de ces prétendus outils open source, pour s'emparer de secrets, de portefeuilles cryptographiques, de clés SSH (Secure Shell) et d'autres données pertinentes.
Les paquets infectés par Trapdoor tentent également d’exploiter des outils d’IA pour faciliter leur attaque, en utilisant des fichiers de directives pour tromper les outils de codage IA afin qu’ils effectuent un scan de sécurité et exfiltrent des données hautement sensibles.
Socket a déclaré que, bien que cette technique ne puisse pas fonctionner de manière cohérente sur tous les outils et modèles d'IA, sa présence montre que les attaquants « expérimentent activement les environnements de développement IA dans le cadre de campagnes de logiciels malveillants visant la chaîne d'approvisionnement ».
Les attaques en chaîne sont de plus en plus courantes. En septembre, la communauté crypto a été alertée d’un piratage similaire, plusieurs paquets utilisés par des portefeuilles cryptographiques ayant été compromis et modifiés pour voler des fonds en cryptomonnaie provenant de portefeuilles contenant notamment des bitcoins, de l’ether et du solana, parmi d’autres actifs numériques.
