Une campagne malveillante baptisée TrapDoor a disséminé 34 paquets corrompus sur trois registres de dépendances majeurs - npm, PyPI et Crates.io - pour dérober les clés privées, les credentials SSH et les accès cloud de développeurs travaillant sur des projets Solana, DeFi et IA. L’alerte a été publiée par la firme de sécurité Socket, relayée par SlowMist, qui souligne la sophistication de cette attaque de chaîne d’approvisionnement logicielle.

Au programme

  • 34 paquets malveillants identifiés sur npm, PyPI et Crates.io par Socket ; les développeurs Solana, DeFi, Aptos, Sui et IA sont ciblés (Crypto Times, 25 mai 2026)
  • TrapDoor vise les clés privées de wallets, les clés SSH et les credentials cloud - un triple vecteur rarement combiné dans une seule campagne
  • La technique dite de “supply chain” contourne les antivirus traditionnels en infectant des outils légitimes de développement

Comment TrapDoor infiltre les environnements de développement

L’attaque repose sur une méthode éprouvée mais redoutablement efficace : le typosquatting et l’imitation de paquets populaires. Les 34 bibliothèques malveillantes se glissent dans les flux d’installation automatisés - un pip install ou npm install suffit à déclencher l’exfiltration.

Selon Socket, les cibles prioritaires sont les développeurs actifs sur les écosystèmes Solana, Aptos, Sui et les protocoles DeFi, ainsi que les équipes travaillant sur des outils d’intelligence artificielle. Ces profils partagent un point commun : ils manipulent quotidiennement des environnements riches en secrets (clés de portefeuilles, accès aux nœuds, API cloud).

La menace s’inscrit dans une tendance préoccupante. Les attaques de chaîne d’approvisionnement logicielle visant la crypto ont augmenté significativement depuis 2024, à mesure que les protections des exchanges et des wallets grand public se renforcent - les attaquants se retournent vers les développeurs, maillon souvent moins surveillé.

Quelles données sont volées par ce malware ?

TrapDoor ne se contente pas de viser les clés privées de wallets. La campagne capture simultanément trois catégories de données sensibles, ce qui la distingue des malwares crypto classiques.

  • Clés privées de portefeuilles : la cible principale, qui permet un accès immédiat aux fonds on-chain
  • Clés SSH : permettent de rebondir vers des serveurs de production ou des nœuds de validation
  • Credentials cloud (AWS, GCP, Azure) : ouvrent l’accès à des infrastructures entières, y compris des bases de données et des pipelines de déploiement

Ce triple vecteur signifie qu’un développeur infecté ne perd pas seulement ses fonds personnels : il expose potentiellement l’ensemble de l’infrastructure du projet sur lequel il travaille. Pour un protocole DeFi gérant des millions en TVL, les conséquences peuvent être systémiques.

Les utilisateurs de wallets grand public comme Ledger ou Trezor sont moins exposés par nature, car leurs clés ne transitent jamais par l’environnement de développement. Le risque se concentre sur les wallets de type logiciel utilisés directement dans le code.

Pourquoi les développeurs crypto sont des cibles de choix

Un développeur travaillant sur un smart contract Solana ou un bridge DeFi possède, dans son environnement local, des secrets dont la valeur peut dépasser celle de la plupart des utilisateurs individuels. Un wallet de déploiement peut contenir plusieurs centaines de milliers de dollars en tokens de gaz ou de gouvernance.

Les registres npm, PyPI et Crates.io publient collectivement plusieurs millions de paquets. La modération est automatisée et imparfaite. Socket et ses équivalents comme les outils de détection de malwares ciblant la crypto identifient régulièrement des campagnes similaires - mais souvent après que les paquets ont été téléchargés des milliers de fois.

La vérification de l’intégrité des paquets reste le principal rempart. Des pratiques comme l’audit des dépendances avant installation, l’utilisation de lock files stricts et l’isolation des environnements de développement réduisent considérablement la surface d’attaque. Seulement, ces pratiques sont loin d’être universelles, y compris parmi les développeurs expérimentés.

« La campagne TrapDoor illustre comment les attaquants migrent vers les outils de développement pour contourner les défenses déployées sur les couches applicatives et les exchanges. »

  • Socket, mai 2026 (traduit de l’anglais)

Ce que les équipes doivent faire maintenant

Les équipes concernées doivent en priorité auditer leurs package.json, requirements.txt et Cargo.toml pour détecter la présence des 34 paquets identifiés par Socket. La liste complète est disponible dans le rapport publié par la firme.

Sur un plan plus large, cette affaire rappelle que la sécurité dans l’industrie crypto ne concerne pas uniquement les utilisateurs finaux. Les banques et institutions qui entrent dans l’écosystème s’appuient sur ces mêmes stacks de développement - et leur exposition à ce type d’attaque mérite d’être réévaluée. Des acteurs comme Morgan Stanley via E*Trade ou Sygnum qui construisent des services crypto institutionnels sont directement concernés par la robustesse de leurs pratiques DevSecOps.

Peu de wallets et d’outils de développement font l’objet de tests d’intrusion rigoureux. TrapDoor rappelle le coût de cette lacune.

À retenir

TrapDoor représente une attaque de chaîne d’approvisionnement ciblant 3 registres simultanément avec 34 paquets malveillants. Les équipes sur Solana, DeFi, Aptos, Sui et IA doivent auditer leurs dépendances immédiatement. À surveiller : la réponse de npm, PyPI et Crates.io pour accélérer la détection et le retrait des paquets frauduleux.

Sources

Signal Baissier
Impact Majeur
Nous ajouter à vos sources préférées sur Google