Une nouvelle campagne de logiciels malveillants nommée ‘TrapDoor’ représente une menace sérieuse pour les développeurs des secteurs de la crypto et de l’IA. La société de cybersécurité Socket prévient que cette attaque vise à voler des portefeuilles crypto, des mots de passe, des comptes cloud et des clés API via des packages logiciels utilisés quotidiennement par des millions de programmeurs.
Des dizaines de packages malveillants et des centaines de variantes ont déjà été découverts. La campagne se distingue notamment par un élément remarquable : TrapDoor trompe également les assistants de code IA comme Claude et Cursor pour accéder aux portefeuilles.
Comment TrapDoor se propage
TrapDoor utilise une attaque dite de la chaîne d’approvisionnement. Les hackers cachent des logiciels malveillants dans des packages logiciels que les programmeurs utilisent pour développer des applications.
Le logiciel malveillant a été trouvé sur trois grandes plateformes de développement : npm pour JavaScript et le développement web, PyPI pour Python et les applications IA, et Crates pour le langage de programmation Rust. Les packages portent des noms qui évoquent des logiciels IA, le développement blockchain ou des outils de sécurité. Ils ressemblent ainsi à des outils légitimes de développeurs, ce qui rend l’infection difficile à détecter.
Ce que le logiciel malveillant vole
Une fois installé, TrapDoor recherche des portefeuilles crypto, des comptes cloud, des clés API, des tokens GitHub et des clés SSH. Des portefeuilles populaires comme MetaMask, Coinbase Wallet, Binance Wallet, Solana, Sui et Aptos figurent spécifiquement parmi les cibles. De plus, le logiciel malveillant collecte des données du navigateur Brave.
Pour les développeurs crypto, c’est une menace directe. Une clé privée ou une phrase de récupération volée signifie souvent la perte immédiate de tous les fonds du portefeuille.
Les outils IA utilisés comme armes
L’aspect le plus frappant de la campagne est la manière dont TrapDoor exploite les assistants de code IA. Selon Ahmad Nassri, directeur technique de Socket, le logiciel malveillant contient des instructions cachées qui trompent des outils IA comme Claude et Cursor. Le logiciel leur demande d’effectuer une fausse analyse de sécurité, entraînant ainsi une fuite d’informations sensibles.
De plus, la configuration de la campagne indique que les attaquants utilisent eux-mêmes l’IA pour générer plus rapidement de nouvelles variantes de logiciels malveillants. Cela rend TrapDoor plus difficile à combattre, car les outils de sécurité traditionnels ont du mal à reconnaître des codes qui évoluent rapidement.
GitHub impliqué dans la diffusion
Les chercheurs affirment que GitHub a été utilisé pour diffuser les packages malveillants. Les hackers ont créé des dépôts avec de la documentation générée automatiquement, des outils de développement et du code malveillant partiellement fonctionnel.
Cette mise en garde survient peu après que GitHub a signalé lui-même un incident de sécurité, où des hackers ont obtenu un accès non autorisé à des dépôts internes via l’appareil compromis d’un employé.
Ce que les développeurs peuvent faire
Les cybercriminels ciblent de plus en plus les développeurs de logiciels dans les industries de la crypto et de l’IA. Ce groupe possède souvent des données précieuses telles que des portefeuilles, des clés serveur et un accès cloud.
Les experts en sécurité conseillent de toujours vérifier soigneusement les packages logiciels avant de les installer. Il est également prudent d’utiliser uniquement des packages provenant de sources vérifiées, de supprimer immédiatement les logiciels suspects et de conserver de préférence les portefeuilles crypto avec de grands soldes sur un portefeuille matériel.
Un portefeuille crypto aux 650 000 utilisateurs ferme après une faille de sécurité
Ctrl Wallet, un portefeuille multichaîne non dépositaire qui permet aux utilisateurs de gérer eux-mêmes leurs actifs numériques, met définitivement fin à ses activités.
Les piratages crypto chutent de près de 50 %, mais les experts alertent : « la menace s’intensifie »
Au premier semestre 2026, le préjudice financier total lié aux cyberattaques visant le secteur de la blockchain a reculé de 46,8 %, à 1,31 milliard de dollars.
Une faille de sécurité menace des milliers de portefeuilles crypto
Des milliers de portefeuilles crypto pourraient être exposés au vol en raison d’une faille de sécurité lors de la génération des « seed phrases », ces phrases de récupération.
Le plus lu
Le plus grand transfert de patrimoine de l’histoire : 60 000 milliards de dollars pour les jeunes investisseurs
Wall Street s’inquiète de l’arrivée d’une nouvelle génération qui disposera bientôt de dizaines de milliers de milliards de dollars. Voici ce qu’il faut savoir.
L’erreur qui coûte le plus cher aux investisseurs — et comment l’éviter
Un prix Nobel l’a montré avec une simple tasse à café : le fait de posséder un bien peut en doubler la valeur perçue. Ce même biais pousse les investisseurs à conserver des positions sans avenir.
Les piratages crypto chutent de près de 50 %, mais les experts alertent : « la menace s’intensifie »
Au premier semestre 2026, le préjudice financier total lié aux cyberattaques visant le secteur de la blockchain a reculé de 46,8 %, à 1,31 milliard de dollars.