Alerte de sécurité critique : attaque de la chaîne d’approvisionnement
Le laboratoire de cybersécurité SlowMist a émis une alerte de sécurité critique portant le code SM-2026-352284. Selon son rapport officiel, une attaque active de la chaîne d’approvisionnement a été détectée, ciblant les développeurs de produits Web3 et IA.
Les attaquants ont injecté plus de 34 packages malveillants et 384 versions associées dans les principaux référentiels de code, notamment npm, PyPI et Crates.io, visant directement les développeurs des écosystèmes Solana, DeFi et IA.
Contexte et évolution des menaces
Cette attaque intervient après un mois d’avril particulièrement difficile pour le secteur DeFi, qui a enregistré des pertes record de 635 millions de dollars suite à 28 piratages. Bien que le nombre d’exploits directs de contrats intelligents ait diminué en mai, l’analyse de SlowMist révèle un changement stratégique majeur chez les attaquants.
Ces derniers ont abandonné les attaques contre les serveurs sécurisés pour se concentrer sur la compromission discrète des ordinateurs personnels des ingénieurs.
Fonctionnement du malware TrapDoor
Selon SlowMist, le malware TrapDoor est conçu pour compromettre complètement les postes de travail des développeurs. Il vole :
- Les portefeuilles de cryptomonnaies
- Les jetons d’accès cloud tels que les identifiants AWS et GitHub
- Les clés d’authentification
Ces données sont ensuite transmises à des serveurs contrôlés par les attaquants. Cette approche reprend la logique du célèbre ver npm « Mini Shai-Hulud ».
Pour assurer sa persistance discrète sur les systèmes, le malware s’inscrit directement dans les fichiers de configuration des assistants IA comme .cursorrules et CLAUDE.md, tout en se cachant également dans les hooks Git et les scripts d’automatisation.
Stratégie de dissimulation et amplification de la menace
Dans les référentiels, le code malveillant est déguisé en plugins IA et en outils de compilation pour Sui et Move. Cette menace est amplifiée par la tendance du « vibe coding », où les développeurs assemblent rapidement des projets via des invites et intègrent aveuglément des dizaines de bibliothèques imbriquées.
En conséquence, les agents IA téléchargent automatiquement du code malveillant sur des machines où les éditeurs intelligents ont accès direct aux fichiers de configuration locaux.
Recommandations de remédiation
Face à la criticité de cette menace, SlowMist recommande aux équipes de développement :
- Supprimer immédiatement les packages affectés
- Isoler les systèmes infectés
- Préserver les journaux d’événements
- Mettre en œuvre un protocole de remédiation en trois étapes
