Des chercheurs de Socket Security ont identifié plus de 34 paquets malveillants sur trois registres de langages de programmation ciblant des environnements de développement crypto, notamment les écosystèmes Aptos, Sui et Solana.
Surnommée TrapDoor, la campagne s'étend sur npm, PyPI et Crates.io avec plus de 384 versions au total. Les paquets malveillants identifiés incluent sui-framework-helpers, sui-move-build-helper et move-analyzer-build sur Crates.io, ainsi que plusieurs paquets npm et PyPI, ont déclaré les chercheurs de Socket dans un communiqué dimanche.
Les chercheurs ont indiqué que le logiciel malveillant est conçu pour voler les clés SSH, les trousseaux de portefeuilles (wallet keystores), les identifiants AWS, les jetons GitHub et les bases de données de connexion des navigateurs sur les machines des développeurs. Les paquets s'exécutent via des mécanismes spécifiques à l'écosystème, notamment les hooks postinstall de npm, les déclencheurs d'importation de Python et les scripts build.rs de Rust.
Selon Socket Security, le premier paquet observé était le module PyPI [email protected], téléchargé vendredi à 20:20 UTC, avec une roue compilée publiée deux minutes plus tard. Les paquets ont été publiés en succession rapide par plusieurs comptes et sont apparus sur tous les registres par vagues de déploiement étroitement groupées, selon le rapport.
Les paquets npm de la campagne comprenaient des outils tels que crypto-credential-scanner, defi-env-auditor et wallet-security-checker, tandis que les paquets Crates.io se concentraient sur les outils de développement Sui et Move, notamment move-project-builder et sui-sdk-build-utils. Les paquets PyPI incluaient eth-security-auditor et defi-risk-scanner, conçus pour s'exécuter automatiquement lors des flux de travail de développement standard.
Les chercheurs de Socket ont déclaré que les noms de paquets avaient été conçus pour ressembler à des outils de développement dans les domaines de la crypto, de la DeFi, de l'IA et de la sécurité, ciblant les environnements où les identifiants cloud, les clés SSH et les données de portefeuille peuvent être stockés sur les machines des développeurs.
La firme a décrit la campagne comme une opération à faible volume mais à fort impact, avec un nombre relativement restreint de paquets distribués sur plusieurs registres mais ciblant des environnements contenant des identifiants d'authentification et financiers de grande valeur.
Avertissement : The Block est un média indépendant qui fournit des actualités, des recherches et des données. Depuis novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d'autres sociétés du secteur crypto. L'échange crypto Bitget est un LP (Limited Partner) clé pour Foresight Ventures. The Block continue de fonctionner indépendamment pour fournir des informations objectives, pertinentes et opportunes sur l'industrie crypto. Voici nos informations financières actuelles.
© 2026 The Block. Tous droits réservés. Cet article est fourni à titre informatif uniquement. Il n'est pas proposé ni destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
