Le laboratoire de cybers\u00e9curit\u00e9 SlowMist<\/strong> a \u00e9mis une alerte de s\u00e9curit\u00e9 critique portant le code SM-2026-352284<\/strong>. Selon son rapport officiel, une attaque active de la cha\u00eene d’approvisionnement<\/strong> a \u00e9t\u00e9 d\u00e9tect\u00e9e, ciblant les d\u00e9veloppeurs de produits Web3 et IA.<\/p>\n Les attaquants ont inject\u00e9 plus de 34 packages malveillants et 384 versions associ\u00e9es<\/strong> dans les principaux r\u00e9f\u00e9rentiels de code, notamment npm, PyPI et Crates.io<\/em>, visant directement les d\u00e9veloppeurs des \u00e9cosyst\u00e8mes Solana, DeFi et IA<\/strong>.<\/p>\n Cette attaque intervient apr\u00e8s un mois d’avril particuli\u00e8rement difficile pour le secteur DeFi, qui a enregistr\u00e9 des pertes record de 635 millions de dollars<\/strong> suite \u00e0 28 piratages<\/strong>. Bien que le nombre d’exploits directs de contrats intelligents ait diminu\u00e9 en mai, l’analyse de SlowMist r\u00e9v\u00e8le un changement strat\u00e9gique majeur chez les attaquants<\/strong>.<\/p>\n Ces derniers ont abandonn\u00e9 les attaques contre les serveurs s\u00e9curis\u00e9s<\/em> pour se concentrer sur la compromission discr\u00e8te des ordinateurs personnels des ing\u00e9nieurs<\/strong>.<\/p>\n Selon SlowMist, le malware TrapDoor<\/strong> est con\u00e7u pour compromettre compl\u00e8tement les postes de travail des d\u00e9veloppeurs<\/strong>. Il vole :<\/p>\n Ces donn\u00e9es sont ensuite transmises \u00e0 des serveurs contr\u00f4l\u00e9s par les attaquants<\/strong>. Cette approche reprend la logique du c\u00e9l\u00e8bre ver npm \u00ab Mini Shai-Hulud \u00bb<\/em>.<\/p>\n Pour assurer sa persistance discr\u00e8te sur les syst\u00e8mes, le malware s’inscrit directement dans les fichiers de configuration des assistants IA<\/strong> comme Dans les r\u00e9f\u00e9rentiels, le code malveillant est d\u00e9guis\u00e9 en plugins IA et en outils de compilation<\/strong> pour Sui et Move. Cette menace est amplifi\u00e9e par la tendance du \u00ab vibe coding \u00bb<\/strong>, o\u00f9 les d\u00e9veloppeurs assemblent rapidement des projets via des invites et int\u00e8grent aveugl\u00e9ment des dizaines de biblioth\u00e8ques imbriqu\u00e9es.<\/p>\n En cons\u00e9quence, les agents IA t\u00e9l\u00e9chargent automatiquement du code malveillant<\/strong> sur des machines o\u00f9 les \u00e9diteurs intelligents ont acc\u00e8s direct aux fichiers de configuration locaux.<\/p>\n Face \u00e0 la criticit\u00e9 de cette menace, SlowMist recommande aux \u00e9quipes de d\u00e9veloppement :<\/p>\n Alerte de s\u00e9curit\u00e9 critique : attaque de la cha\u00eene d’approvisionnement Le laboratoire de cybers\u00e9curit\u00e9 SlowMist a \u00e9mis une alerte de s\u00e9curit\u00e9 critique portant le code SM-2026-352284. Selon son rapport officiel, une attaque active de la cha\u00eene d’approvisionnement a \u00e9t\u00e9 d\u00e9tect\u00e9e, ciblant les d\u00e9veloppeurs de produits Web3 et IA. Les attaquants ont inject\u00e9 plus de 34 packages malveillants et 384 versions associ\u00e9es dans les principaux r\u00e9f\u00e9rentiels de code, notamment npm, PyPI et Crates.io, visant directement les d\u00e9veloppeurs des \u00e9cosyst\u00e8mes Solana, DeFi et IA. Contexte et \u00e9volution des menaces Cette attaque intervient apr\u00e8s un mois d’avril particuli\u00e8rement difficile pour le secteur DeFi,<\/p>\n","protected":false},"author":3,"featured_media":15607,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[556,487,9827,12,1338,65,2935,2732,115,2238,221],"class_list":["post-15608","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-ai","tag-aws","tag-claude","tag-defi","tag-github","tag-hack","tag-movement","tag-slowmist","tag-solana","tag-sui","tag-web3"],"yoast_description":"SlowMist alerte sur le malware 'TrapDoor' qui cible les d\u00e9veloppeurs Solana, DeFi et IA en distribuant des packages malveillants via npm, PyPI et Crates.io pour voler les portefeuilles crypto et les identifiants cloud.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/15608","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=15608"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/15608\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/15607"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=15608"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=15608"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=15608"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Contexte et \u00e9volution des menaces<\/h2>\n
Fonctionnement du malware TrapDoor<\/h2>\n
\n
.cursorrules<\/code> et CLAUDE.md<\/code>, tout en se cachant \u00e9galement dans les hooks Git et les scripts d’automatisation<\/strong>.<\/p>\nStrat\u00e9gie de dissimulation et amplification de la menace<\/h2>\n
Recommandations de rem\u00e9diation<\/h2>\n
\n