Solana, Sui et Aptos : Un malware s’attaque aux développeurs crypto

Un malware pour les gouverner tous. Les hacks sont monnaie courante dans la cryptomonnaie. Et si les protocoles DeFi restent les cibles privilégiées, les utilisateurs sont également visés. Cependant, aujourd’hui, c’est aux développeurs que s’attaque le malware TrapDoor. Il a été repéré sur Aptos, Sui et Solana. Les détails.

Offre exclusive Journal du Coin : recevez jusqu’à 500 $ en cryptomonnaies ou actions sur eToro, selon votre premier dépôt. Promotion à durée limitée.

Créer un compte eToro

Les investissements en crypto-actifs sont risqués et peuvent ne pas convenir aux investisseurs particuliers ; vous pourriez perdre l’intégralité de votre investissement. Comprenez les risques ici : https://etoro.tw/3PI44nZ

TrapDoor : un malware qui cible les développeurs crypto

Hier,le 25 mai, les équipes de Socket Security ont alerté la communauté crypto sur une campagne de logiciels malveillants visant directement les développeurs.

Selon leur rapport, plus de 34 packages malveillants ont été identifiés dans les registres de trois langages de programmation distincts. Tous ciblent les environnements de développement des projets construits sur Aptos, Sui et Solana.

Ces packages se cachaient sur NPM, PyPI et Crates.io. Ce sont les trois principaux dépôts utilisés par les développeurs pour télécharger les librairies de code correspondant respectivement aux écosystèmes JavaScript, Python et Rust. Autant dire un point d’entrée stratégique : un seul package compromis peut potentiellement se retrouver dans des centaines de projets.

Comment fonctionne Trapdoor ?

Baptisé TrapDoor, le malware est donc conçu pour exfiltrer un éventail large d’informations sensibles : clés SSH, keystores de wallet, identifiants AWS, tokens GitHub et bases de données de connexion stockées dans les navigateurs.

Une fois installés, ces packages malveillants s’activent automatiquement. Ils détournent des fonctionnalités normales des gestionnaires de paquets (comme npm, PyPI ou Crates.io). L’objectif ? Exécuter leur code nuisible dès l’installation, sans que le développeur ne s’en rende compte.

Offre exclusive Journal du Coin : recevez jusqu’à 500 $ en cryptomonnaies ou actions sur eToro, selon votre premier dépôt. Promotion à durée limitée.

Créer un compte eToro

Les investissements en crypto-actifs sont risqués et peuvent ne pas convenir aux investisseurs particuliers ; vous pourriez perdre l’intégralité de votre investissement. Comprenez les risques ici : https://etoro.tw/3PI44nZ

Le malware qui trompe les développeurs

Pour piéger les développeurs, les attaquants ont soigné l’apparence de leurs packages. Les noms choisis imitent à s’y méprendre des outils légitimes liés à la crypto, à la DeFi, à l’IA ou à la sécurité.

Sur npm, on retrouve par exemple :

• crypto-credential-scanner
• defi-env-auditor
• wallet-security-checker

Sur Crates.io, les attaquants visent spécifiquement les développeurs Sui et Move avec :

• move-project-builder
• sui-sdk-build-utils

Et côté PyPI :

• eth-security-auditor
• defi-risk-scanner

Le procédé est simple. Tous ces packages se présentent comme des outils de scan de credentials, d’audit de sécurité ou d’aide au développement sur Sui. Bref, exactement le type de librairies qu’un développeur soucieux de sa sécurité serait tenté d’installer. Tellement bien camouflés que ce sont précisément les développeurs les plus prudents qui s’avèrent les plus vulnérables.

Une fois exécutés, ces packages dérobent les informations sensibles présentes sur la machine du développeur, avec le risque, en bout de chaîne, que des projets entiers et leurs utilisateurs soient compromis.

Une menace qui révèle la vulnérabilité de la chaîne d’approvisionnement crypto

Cette campagne TrapDoor n’est pas unique en son genre. En effet, elle s’inscrit dans une hausse préoccupante des attaques sur la chaîne d’approvisionnement logicielle dans l’écosystème crypto. En 2025 et 2026, plusieurs campagnes similaires ont déjà visé les dépôts de packages, avec des conséquences parfois lourdes : vols de fonds, backdoors dans des smart contracts ou fuites massives de credentials.

Ce qui rend TrapDoor particulièrement dangereux, c’est qu’il cible directement les développeurs des écosystèmes les plus dynamiques du moment (Aptos, Sui et Solana). Un développeur compromis peut potentiellement exposer un projet entier, ses contrats intelligents et donc, les fonds des utilisateurs.

L’affaire souligne ainsi un paradoxe de la crypto : plus l’écosystème se professionnalise et attire des développeurs expérimentés, plus les attaquants raffinent leurs techniques de social engineering. Les packages malveillants n’attaquent plus seulement les utilisateurs finaux, ils remontent désormais à la source : ceux qui construisent les protocoles.

Si vous avez récemment installé l’un de ces packages, supprimez-le sans délai et révoquez l’ensemble des identifiants susceptibles d’avoir été exposés (clés SSH, tokens GitHub, credentials AWS, accès à vos wallets).

De leur côté, les équipes de Socket Security ont signalé les packages aux mainteneurs de npm, PyPI et Crates.io pour qu’ils procèdent à leur retrait.

Avec l’offre exclusive Journal du Coin, profitez jusqu’à 500 $ d’actifs offerts (cryptomonnaies ou actions) sur eToro, grâce à un système de paliers selon votre dépôt. Une opportunité à durée limitée pour démarrer avec un avantage concret dès votre inscription.

Récupérer mon bonus

Les investissements en crypto-actifs sont risqués et peuvent ne pas convenir aux investisseurs particuliers ; vous pourriez perdre l’intégralité de votre investissement. Comprenez les risques ici : https://etoro.tw/3PI44nZ

L’article Solana, Sui et Aptos : Un malware s’attaque aux développeurs crypto est apparu en premier sur Journal du Coin.