L'assistant de codage AI devient une porte d'entrée pour les hackers ? SlowMist avertit : les actifs des développeurs en cryptographie sont en train d'être "piratés sans détection"

La société de sécurité blockchain SlowMist a récemment publié une alerte de sécurité urgente, soulignant que les outils de codage IA grand public présentent des vulnérabilités à haut risque, permettant aux attaquants d’infiltrer directement le système des développeurs par des opérations de projet extrêmement simples, constituant une menace particulièrement grave pour les développeurs de cryptomonnaies.

L’équipe d’intelligence des menaces de SlowMist indique que lorsque les développeurs ouvrent un répertoire de projet non fiable dans un environnement de développement intégré (IDE), même une opération courante comme « ouvrir un dossier » peut déclencher et exécuter automatiquement des instructions malveillantes sur Windows ou macOS, sans aucune interaction supplémentaire. Cela signifie que des informations sensibles telles que les clés privées, phrases de récupération, clés API, etc., peuvent être volées à l’insu du développeur.

Les recherches montrent que les utilisateurs de Cursor sont particulièrement vulnérables à cette attaque. La société de cybersécurité HiddenLayer a révélé ce problème dès septembre dans son étude « CopyPasta License Attack ». Les attaquants insèrent des instructions cachées dans des commentaires Markdown dans des fichiers courants comme LICENSE.txt ou README.md, incitant l’assistant de codage IA à propager une logique malveillante dans toute la base de code. Ces commentaires sont invisibles pour les développeurs humains, mais sont interprétés comme des « instructions » par les outils IA, permettant d’implanter des portes dérobées, de voler des données ou même de prendre le contrôle du système.

HiddenLayer indique en outre que, en plus de Cursor, plusieurs autres outils de codage IA tels que Windsurf, Kiro, Aider sont également affectés. La propagation de ces attaques à faible coût d’interaction peut s’étendre à l’ensemble de l’environnement de développement, amplifiant systématiquement le risque.

Par ailleurs, les attaques de niveau national évoluent également. Des recherches en sécurité montrent que des hackers nord-coréens ont intégré directement des logiciels malveillants dans des contrats intelligents Ethereum et BNB Smart Chain, construisant un réseau de commandement et de contrôle décentralisé basé sur la blockchain. Le code malveillant est distribué via des appels de fonctions en lecture seule, évitant ainsi les méthodes traditionnelles d’application de la loi et de blocage. Des organisations comme UNC5342 utilisent également des techniques de faux recrutement, d’entretiens techniques et de livraison de packages NPM pour cibler précisément les développeurs cryptographiques.

Ce qui est encore plus alarmant, c’est que l’intelligence artificielle elle-même devient un amplificateur de vulnérabilités. Des recherches d’Anthropic montrent que Claude Opus 4.5 et GPT-5 peuvent détecter dans de nombreux contrats réels des vulnérabilités exploitables, avec un coût d’attaque en baisse constante. Les données de Chainabuse indiquent que la fraude cryptographique alimentée par l’IA a augmenté de 456 % en un an, avec la deepfake et l’ingénierie sociale automatisée devenant des méthodes principales.

Bien que les pertes de sécurité sur la chaîne en décembre aient diminué, la vulnérabilité des outils de codage IA et l’infrastructure malveillante de niveau blockchain font des développeurs cryptographiques des cibles de grande valeur. Pour les professionnels dépendant de la programmation IA et gérant des actifs numériques, la sécurité de l’environnement de développement devient un risque systémique qu’il ne faut pas négliger.