TrapDoor : le malware qui infecte npm, PyPI et Crates.io en visant les devs IA
Tu fais confiance aux paquets que tu installes chaque jour ? Tu devrais peut-être reconsidérer. TrapDoor vient de frapper npm, PyPI et Crates.io simultanément. 34 paquets malveillants. Plus de 384 versions contaminées. Et une technique qui transforme ton assistant IA en complice involontaire.
34 paquets malveillants détectés sur npm, PyPI et Crates.io
384+ versions contaminées, ciblant devs crypto, DeFi et IA
Des caractères Unicode invisibles dans .cursorrules et CLAUDE.md
Vol de clés SSH, wallets crypto, tokens AWS et GitHub
Détection par Socket en environ 6 minutes
Une attaque multi-plateformes rarement vue
TrapDoor ne s’est pas contenté d’un seul écosystème. Les attaquants ont frappé les trois principales plateformes de paquets. 20 paquets sur npm avec des hooks postinstall et un fichier trap-core.js. 7 paquets sur PyPI exécutant du JavaScript au moment de l’import via node -e. 6 paquets sur Crates.io exploitant build.rs.
La campagne a débuté le 22 mai 2026. Socket, la société de sécurité spécialisée dans la supply chain, a identifié la menace en environ 6 minutes. Mais 6 minutes, c’est déjà trop tard. Des centaines de développeurs avaient probablement déjà installé les paquets contaminés.
L’arme secrète : l’assistant IA piraté
Concrètement, C’est la partie la plus innovante de cette attaque. Les pirates ont inséré des caractères Unicode invisibles dans les fichiers .cursorrules et CLAUDE.md. Ces fichiers configurent le comportement des assistants IA comme Cursor et Claude Code.
Résultat ? L’assistant IA devient un exfiltrateur. Il lit tes identifiants, tes tokens, tes clés. Et il les envoie aux attaquants sans que tu t’en rendes compte. Tu demandes de l’aide pour debugger ton code. Ton assistant vole tes credentials pendant ce temps. C’est brillant. Et terrifiant.
⚠️ Vérifie tes fichiers de config IA maintenant
Ouvre tes fichiers .cursorrules et CLAUDE.md. Recherche des caractères invisibles Unicode. Si tu trouves quelque chose de suspect, supprime le fichier et réinstalle le paquet proprement. Les attaques supply chain ont augmenté de 451 % en un an.
Ce que les attaquants volent
Tokens API : clés d’authentification volées depuis les variables d’environnement.
Identifiants cloud : accès AWS, GCP, Azure récupérés via les fichiers de configuration.
Secrets npm/PyPI : tokens de publication de paquets pour propager l’infection.
Clés SSH : accès aux serveurs de production et aux entrepôts de code.
TrapDoor ne cherche pas à crypter tes fichiers. Pas de ransomware ici. L’objectif est le vol pur et simple. Clés SSH pour accéder à tes serveurs. Wallets crypto pour vider tes portefeuilles numériques. Tokens AWS pour exploiter ton infrastructure cloud. Variables d’environnement qui contiennent souvent des secrets.
La cible est claire. Les développeurs crypto, DeFi et IA. Trois secteurs où les credentials ont une valeur marchande énorme. Un wallet crypto bien garni peut valoir des millions. Des tokens AWS donnent accès à des infrastructures entières.
Plateforme
Paquets
Technique d’infection
Cible principale
npm
20
postinstall hooks, trap-core.js
Devs JavaScript/Node.js
PyPI
7
Import-time JS via node -e
Devs Python et IA
Crates.io
6
build.rs execution
Devs Rust et crypto
Comment te protéger
La première règle reste la même. Vérifie les paquets avant de les installer. Regarde le nombre de téléchargements. Lis les issues et les reviews. Un paquet publié récemment avec peu d’étoiles devrait alerter. Installe des outils comme Socket ou Snyk qui scannent automatiquement les dépendances.
Pour les fichiers de configuration IA, garde un œil sur leur contenu. .cursorrules et CLAUDE.md ne devraient contenir que des instructions lisibles. Si tu vois des caractères bizarres ou du code obfusqué, supprime immédiatement. Verrouille aussi tes permissions. Tes assistants IA n’ont pas besoin d’accéder à tous tes fichiers système.
🧠 Quiz
Quel est l’élément invisible utilisé par TrapDoor pour pirater les assistants IA ?
Questions fréquentes
Qu’est-ce que TrapDoor exactement ?▼
TrapDoor est une campagne de malware ciblant les développeurs via des paquets contaminés sur npm, PyPI et Crates.io. 34 paquets et plus de 384 versions ont été identifiés. La campagne a débuté le 22 mai 2026.
Comment TrapDoor pirate-t-il les assistants IA ?▼
Des caractères Unicode invisibles sont insérés dans .cursorrules et CLAUDE.md. Ces fichiers configurent les assistants IA. Les caractères modifient leur comportement pour exfiltrer des données comme les clés SSH et les tokens AWS.
Quels types de données sont volés ?▼
TrapDoor vole les clés SSH, les wallets crypto, les tokens AWS et GitHub, ainsi que les variables d’environnement contenant des secrets. La cible principale sont les développeurs crypto, DeFi et IA.
Comment détecter TrapDoor sur mon poste ?▼
Vérifie tes fichiers .cursorrules et CLAUDE.md pour des caractères invisibles. Utilise des outils comme Socket ou Snyk pour scanner tes dépendances. Supprime tout paquet suspect et réinstalle-le depuis une source vérifiée.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Si tu utilises Cursor ou Claude Code au quotidien, prends cinq minutes maintenant. Ouvre tes fichiers de configuration. Vérifie leur contenu. C’est le genre de menace invisible qui fait le plus de dégâts. Et les attaques supply chain ne font que commencer. 451 % d’augmentation en un an. Tu ne peux plus ignorer le risque.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
![Claude Opus 4.6 [Avis] - Le nouveau standard en 2026](https://alexitauzin.com/wp-content/uploads/2026/02/claude-opus-4-6-chatgpt-150x150.jpg "Claude Opus 4.6 : l'IA qui pourrait vous faire résilier ChatGPT dès ce matin (voici pourquoi)")
