TechFlow rapporte que, le 25 mai, la société de cybersécurité Socket Security a découvert une attaque malveillante de la chaîne d’approvisionnement baptisée « TrapDoor », visant à dérober des cryptomonnaies. Cette campagne s’étend aux registres de paquets npm, PyPI et Crates.io, impliquant plus de 34 packages malveillants ainsi que 384 versions et artefacts associés. Les cibles principales sont les développeurs travaillant dans les domaines des cryptomonnaies, de la finance décentralisée (DeFi), de Solana, de Sui, du langage Move et de l’intelligence artificielle.
Les échantillons d’attaque permettent de voler des informations sensibles telles que les clés SSH, les données de portefeuilles cryptographiques, les identifiants AWS, les jetons GitHub, les données des navigateurs web et les variables d’environnement. Plus précisément, les packages npm exécutent un payload partagé nommé trap-core.js via le crochet postinstall ; les packages PyPI exécutent un script JavaScript distant lors de leur importation ; tandis que les packages Crates.io exploitent le fichier build.rs pour subtiliser les magasins de clés locaux. Socket a marqué tous ces packages comme malveillants et en a informé les registres de packages concernés.
