Malware par trappe : la vaste attaque de la chaîne d’approvisionnement visant les développeurs crypto

Des enquêteurs de Soclet ont découvert une nouvelle attaque d’approvisionnement visant les développeurs de crypto via des paquets npm, PyPI et Crates.io. La campagne, baptisée Trapdoor, vise à voler des clés de portefeuilles crypto et d’autres secrets aux développeurs dans l’écosystème de la crypto.

• Points clés :
• • Le 22 mai, Socket a trouvé un malware Trapdoor infectant 34 paquets de développeurs pour voler des portefeuilles et des clés crypto.
• • Sur 384 versions, la campagne trompe les outils d’IA et impacte fortement le marché du développement.
• • Après une attaque similaire en septembre, Socket avertit que les développeurs doivent ensuite sécuriser les environnements d’IA contre le vol lié à la crypto.

Schéma d’attaque de la chaîne d’approvisionnement Trapdoor cible les développeurs pour des performances maximales

Alors que certaines campagnes de logiciels malveillants visent les utilisateurs de crypto au quotidien, d’autres ciblent les développeurs, cherchant à toucher des cibles plus susceptibles de détenir de grandes quantités de cryptomonnaie et d’avoir accès à des ressources plus étendues.

Des chercheurs de Socket, une entreprise spécialisée dans la prévention des attaques de la chaîne d’approvisionnement, ont identifié une vaste campagne visant les développeurs de crypto à l’aide de paquets infectés sur npm, PyPI et Crates.io.

Baptisée Trapdoor, l’attaque de la chaîne d’approvisionnement s’étend sur 34 paquets dans ces environnements de développement, couvrant plus de 384 versions, avec certains encore disponibles. Socket a indiqué que les paquets concernés avaient été publiés par vagues à partir du 22 mai, puis mis à jour tout au long du week-end suivant.

Les paquets se démarquaient par leur nature, car ils auraient représenté des outils génériques pour développeurs et apparaissaient rapidement dans la foulée sur différents registres. Cela donne à la campagne une « large portée au sein de communautés adjacentes de développeurs où des portefeuilles crypto, des identifiants cloud, des jetons Github et des clés SSH sont susceptibles d’être présents », a estimé Socket.

Les paquets infectés s’introduisent dans l’environnement de développement des développeurs de crypto, en s’appuyant sur ces outils open source présumés, pour s’emparer de secrets, de portefeuilles crypto, de clés de shell sécurisé (SSH) et d’autres données pertinentes.

Les paquets infectés par Trapdoor tentent aussi de tirer parti d’outils d’IA pour faire collaborer leur attaque, en utilisant des fichiers de directive pour tromper les outils de codage par IA afin qu’ils lancent un scan de sécurité et exfiltrent des données très sensibles.

Socket a indiqué que si cette technique ne pouvait pas fonctionner de manière constante sur tous les outils et modèles d’IA, sa présence montre que les attaquants « sont en train d’expérimenter activement des environnements de développement par IA dans le cadre de campagnes de logiciels malveillants de la chaîne d’approvisionnement ».

Les attaques en chaîne deviennent de plus en plus fréquentes. En septembre, la communauté crypto a été alertée au sujet d’un piratage similaire : plusieurs paquets utilisés par des portefeuilles crypto ont été compromis et modifiés pour voler des fonds de cryptomonnaie provenant de portefeuilles contenant bitcoin, ether et solana, entre autres actifs numériques.