Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

TrapDoor Supply Chain Attack Spreads Credential-Stealing Malware via npm, PyPI, and CratesIO

1 minute de lecture

Mis à jour :

Campagne TrapDoor : Attaque massive par la chaîne d’approvisionnement logicielle

La campagne « TrapDoor » cible les développeurs via plus de 34 paquets malveillants répartis sur npm, PyPI et Crates.io. Ces outils usurpent l’identité de solutions liées à la cryptographie, à la DeFi, à Solana et à l’IA pour dérober des secrets, des portefeuilles numériques, des clés SSH, des identifiants cloud et des données système.

Points clés :

  • Vecteurs d’infection variés : Utilisation de scripts de post-installation (npm), de scripts de build personnalisés (build.rs pour Rust) et d’exécution lors de l’importation (Python).
  • Persistance multi-niveaux : Le malware implante des tâches cron, des services systemd, des hooks Git/shell et manipule les fichiers .cursorrules et CLAUDE.md.
  • Manipulation de l’IA : Les attaquants exploitent des fichiers de configuration pour tromper les assistants de codage IA afin qu’ils exécutent des « scans de sécurité » malveillants, facilitant ainsi l’exfiltration de données via des Pull Requests sur des projets populaires (ex: LangChain).
  • Exfiltration : Les données volées sont validées via les API AWS/GitHub et exfiltrées, notamment via des GitHub Gists.

Vulnérabilités : Aucune CVE spécifique n’a été attribuée, l’attaque reposant sur l’abus des fonctionnalités natives des gestionnaires de paquets (hooks d’installation, scripts de build, exécution à l’import).

Recommandations :

  • Audit des dépendances : Vérifier rigoureusement l’origine et le contenu des paquets tiers avant toute installation, particulièrement dans les environnements de développement sensibles.
  • Surveillance des environnements : Surveiller les comportements suspects (appels réseau inattendus, création de tâches persistantes, modification de fichiers de configuration d’outils IA).
  • Principe du moindre privilège : Isoler les environnements de développement pour limiter l’impact en cas de compromission d’un paquet.
  • Analyse des fichiers de configuration : Examiner systématiquement les fichiers .cursorrules ou CLAUDE.md ajoutés par des contributeurs externes dans les dépôts de code.

Source

Vous pourriez aimer