Des hackers exploitent Claude et Cursor pour vider des portefeuilles crypto

Une nouvelle campagne de logiciels malveillants nommée ‘TrapDoor’ représente une menace sérieuse pour les développeurs des secteurs de la crypto et de l’IA. La société de cybersécurité Socket prévient que cette attaque vise à voler des portefeuilles crypto, des mots de passe, des comptes cloud et des clés API via des packages logiciels utilisés quotidiennement par des millions de programmeurs.

Des dizaines de packages malveillants et des centaines de variantes ont déjà été découverts. La campagne se distingue notamment par un élément remarquable : TrapDoor trompe également les assistants de code IA comme Claude et Cursor pour accéder aux portefeuilles.

Comment TrapDoor se propage

TrapDoor utilise une attaque dite de la chaîne d’approvisionnement. Les hackers cachent des logiciels malveillants dans des packages logiciels que les programmeurs utilisent pour développer des applications.

Le logiciel malveillant a été trouvé sur trois grandes plateformes de développement : npm pour JavaScript et le développement web, PyPI pour Python et les applications IA, et Crates pour le langage de programmation Rust. Les packages portent des noms qui évoquent des logiciels IA, le développement blockchain ou des outils de sécurité. Ils ressemblent ainsi à des outils légitimes de développeurs, ce qui rend l’infection difficile à détecter.

Ce que le logiciel malveillant vole

Une fois installé, TrapDoor recherche des portefeuilles crypto, des comptes cloud, des clés API, des tokens GitHub et des clés SSH. Des portefeuilles populaires comme MetaMask, Coinbase Wallet, Binance Wallet, Solana, Sui et Aptos figurent spécifiquement parmi les cibles. De plus, le logiciel malveillant collecte des données du navigateur Brave.

Pour les développeurs crypto, c’est une menace directe. Une clé privée ou une phrase de récupération volée signifie souvent la perte immédiate de tous les fonds du portefeuille.

Les outils IA utilisés comme armes

L’aspect le plus frappant de la campagne est la manière dont TrapDoor exploite les assistants de code IA. Selon Ahmad Nassri, directeur technique de Socket, le logiciel malveillant contient des instructions cachées qui trompent des outils IA comme Claude et Cursor. Le logiciel leur demande d’effectuer une fausse analyse de sécurité, entraînant ainsi une fuite d’informations sensibles.

De plus, la configuration de la campagne indique que les attaquants utilisent eux-mêmes l’IA pour générer plus rapidement de nouvelles variantes de logiciels malveillants. Cela rend TrapDoor plus difficile à combattre, car les outils de sécurité traditionnels ont du mal à reconnaître des codes qui évoluent rapidement.

GitHub impliqué dans la diffusion

Les chercheurs affirment que GitHub a été utilisé pour diffuser les packages malveillants. Les hackers ont créé des dépôts avec de la documentation générée automatiquement, des outils de développement et du code malveillant partiellement fonctionnel.

Cette mise en garde survient peu après que GitHub a signalé lui-même un incident de sécurité, où des hackers ont obtenu un accès non autorisé à des dépôts internes via l’appareil compromis d’un employé.

Ce que les développeurs peuvent faire

Les cybercriminels ciblent de plus en plus les développeurs de logiciels dans les industries de la crypto et de l’IA. Ce groupe possède souvent des données précieuses telles que des portefeuilles, des clés serveur et un accès cloud.

Les experts en sécurité conseillent de toujours vérifier soigneusement les packages logiciels avant de les installer. Il est également prudent d’utiliser uniquement des packages provenant de sources vérifiées, de supprimer immédiatement les logiciels suspects et de conserver de préférence les portefeuilles crypto avec de grands soldes sur un portefeuille matériel.