Notebookcheck Logo

TrapDoor a décidé d'empoisonner les outils de codage de l'IA

Paquets malveillants détectés sur npm, PyPI et Crates.io dans le cadre de la campagne de la chaîne d'approvisionnement TrapDoor.
ⓘ www.magnific.com
Paquets malveillants détectés sur npm, PyPI et Crates.io dans le cadre de la campagne de la chaîne d'approvisionnement TrapDoor.
TrapDoor implante 34 paquets malveillants à travers npm, PyPI et Crates.io ciblant les développeurs de crypto et d'IA pour voler des portefeuilles, des clés SSH et des informations d'identification dans le cloud.
Desktop Workstation Security Software Laptop / Notebook Hack / Data Breach

Trente-quatre paquets malveillants. Trois registres. Socket Security a rendu publique la campagne le 25 mai 2026. L'opération, dont le nom de code est TrapDoor, a laissé ses premières traces le 19 mai, la vague principale arrivant le 22 mai à 20:20 UTC. Au moment de la publication de Socket, 384 versions avaient été poussées sur npm, PyPI et Crates.io.

Ce que TrapDoor vole et comment il fonctionne

Le premier paquet confirmé était eth-security-auditor sur PyPI. Des dizaines ont suivi rapidement sur les trois registres à partir d'un groupe de comptes travaillant en rafale. Les noms sont délibérés : prompt-engineering-toolkit, defi-threat-scanner, wallet-security-checker, solidity-deploy-guard. Chacun d'entre eux passe pour un utilitaire de routine dans les flux de travail de cryptographie, DeFi, Solana ou d'IA. La charge utile est la même dans les 384 versions : portefeuilles cryptographiques, clés SSH, identifiants cloud, jetons AWS et GitHub, données de navigation et variables d'environnement.

Les paquets Npm déposent trap-core.js via des crochets de post-installation. Il valide les jetons volés par rapport aux points d'extrémité AWS et GitHub en direct et s'infiltre par le biais de tâches cron, de systemd, de crochets Git et de SSH. Les paquets PyPI se déclenchent à l'importation, en récupérant une charge utile JavaScript à partir d'un domaine GitHub Pages contrôlé par l'attaquant, hébergé en externe afin que l'attaquant puisse le mettre à jour sans toucher à PyPI. Les paquets Crates.io utilisent un script build.rs, localisent les dépôts de clés locaux et envoient des données cryptées par XOR aux Gists de GitHub. Le temps de détection médian de Socket était de cinq minutes et 27 secondes. Le timing du week-end était intentionnel.

La menace du codage de l'IA

TrapDoor insère également des fichiers .cursorrules et CLAUDE.md dans les dépôts cibles, cachant des instructions dans des caractères Unicode de largeur nulle. Un assistant de codage IA qui lit ces fichiers voit une analyse de sécurité de routine. Son exécution exfiltre les secrets de la machine locale.

L'attaquant a ouvert des demandes de téléchargement pour BrowserUse, LangChain et LangFlow afin de vérifier si ces fichiers survivraient à un examen normal du code. S'ils sont fusionnés, chaque développeur qui ouvre le repo avec un outil de codage IA devient une cible. La surface d'attaque est l'éditeur, pas le registre.

Pour savoir comment les outils de développement sont devenus la principale surface d'attaque en 2026, reportez-vous à notre couverture de la Violation de l'extension VS Code qui a touché GitHub, OpenAI et Mistral AI :

Google LogoAdd as a preferred source on Google
Mail Logo

Articles en relation

Darryl Linington, 2026-05-26 (Update: 2026-05-26)