Solana, Sui et Aptos : Un malware s’attaque aux développeurs crypto
Un malware nommé TrapDoor a été détecté, ciblant spécifiquement les développeurs de projets cryptographiques sur les plateformes Aptos, Sui et Solana. Selon un rapport de Socket Security, plus de 34 packages malveillants ont été identifiés sur les dépôts NPM, PyPI et Crates.io, compromettant potentiellement des centaines de projets.
Le 25 mai, les équipes de Socket Security ont alerté la communauté crypto concernant une campagne de logiciels malveillants visant directement les développeurs. Ces packages malveillants se cachaient dans les trois principaux dépôts utilisés pour le téléchargement de librairies de code : NPM pour JavaScript, PyPI pour Python et Crates.io pour Rust. Un seul package compromis peut se retrouver dans de nombreux projets, représentant ainsi un point d’entrée stratégique pour les attaquants.
TrapDoor est conçu pour exfiltrer des informations sensibles telles que des clés SSH, des keystores de wallets, des identifiants AWS, des tokens GitHub et des bases de données de connexion stockées dans les navigateurs. Une fois installés, ces packages malveillants s’activent automatiquement et détournent des fonctionnalités normales des gestionnaires de paquets, exécutant leur code nuisible dès l’installation.
Pour tromper les développeurs, les attaquants ont soigneusement choisi des noms de packages imitant des outils légitimes liés à la crypto et à la sécurité. Des exemples incluent des packages tels que « crypto-credential-scanner » et « defi-env-auditor » sur NPM, ainsi que « eth-security-auditor » sur PyPI.
Cette menace souligne la vulnérabilité croissante de la chaîne d’approvisionnement dans l’écosystème crypto. La campagne TrapDoor s’inscrit dans une tendance inquiétante d’attaques sur les dépôts de packages, qui ont déjà entraîné des vols de fonds et des fuites massives de credentials dans le passé. Les développeurs compromis peuvent exposer des projets entiers, leurs contrats intelligents, et par conséquent, les fonds des utilisateurs.
Les équipes de Socket Security ont signalé ces packages aux mainteneurs de NPM, PyPI et Crates.io pour qu’ils soient retirés. Les développeurs sont conseillés de supprimer immédiatement tout package suspect et de révoquer les identifiants potentiellement exposés.
Source : Socket Security
