Les assistants de codage IA deviennent des vecteurs d'attaque silencieux pour les développeurs crypto : voici ce que vous devez savoir

Le danger caché à l’intérieur de votre dossier de projet

Que se passe-t-il lorsque vous ouvrez un dossier de projet de cryptomonnaie apparemment innocent ? Selon des chercheurs en sécurité de SlowMist, vous pourriez exécuter à votre insu un code malveillant intégré par des attaquants. Le coupable : des outils de codage alimentés par l’IA comme Cursor, Windsurf et Kiro, qui peuvent être trompés pour exécuter des instructions cachées à l’intérieur des fichiers README.md et LICENSE.txt.

HiddenLayer a initialement divulgué cette vulnérabilité—appelée « Attaque par licence CopyPasta »—en septembre, révélant comment les attaquants intègrent des prompts malveillants dans des commentaires markdown. Lorsqu’un développeur ouvre un dossier de projet, l’assistant de codage IA interprète automatiquement ces instructions cachées comme des commandes légitimes, exécutant des logiciels malveillants sans confirmation de l’utilisateur. Le résultat ? Une compromission complète du système avant même qu’une seule ligne de code réelle ne soit écrite.

Les utilisateurs de Cursor sont particulièrement exposés, avec des démonstrations contrôlées prouvant que les attaquants peuvent obtenir un accès complet au système via un simple accès au dossier. Ce vecteur d’attaque est particulièrement dévastateur pour les environnements de développement crypto où portefeuilles, clés API et identifiants sensibles sont souvent stockés à côté des dépôts de code.

Les groupes de menace nord-coréens utilisent les contrats intelligents comme arme

Le paysage de la menace s’intensifie lorsque des acteurs étatiques entrent en jeu. L’équipe Mandiant de Google a identifié le groupe UNC5342—lié aux opérations nord-coréennes—déployant des logiciels malveillants sophistiqués, notamment JADESNOW et INVISIBLEFERRET, sur les réseaux Ethereum et BNB Smart Chain. Leur méthode est particulièrement insidieuse : les charges utiles sont stockées dans des fonctions en lecture seule dans les contrats intelligents, conçues pour éviter les logs de transaction et les mécanismes de suivi traditionnels de la blockchain.

Les développeurs exécutent ce malware à leur insu simplement en interagissant avec des contrats intelligents compromis via des plateformes décentralisées. L’opération ne se limite pas aux attaques on-chain. BeaverTail et OtterCookie, deux souches de logiciels malveillants modulaires, ont été distribuées par le biais de campagnes de phishing déguisées en entretiens d’embauche. De fausses entreprises comme Blocknovas et Softglide agissaient comme des façades, livrant du code malveillant via des packages NPM à des ingénieurs peu méfiants.

Les chercheurs de Silent Push ont tracé ces deux entreprises frauduleuses jusqu’à des propriétés vacantes, révélant l’opération de malware « Contagious Interview ». Une fois qu’un système de développeur est infecté, il transmet automatiquement les identifiants et les données du code source à des serveurs contrôlés par les attaquants via des canaux cryptés.

Les modèles d’IA apprennent à exploiter les contrats intelligents

La sophistication des attaques augmente à mesure que les capacités de l’IA se développent. Des tests récents d’Anthropic ont révélé une capacité inquiétante : des modèles d’IA avancés ont réussi à identifier et exploiter des vulnérabilités dans des contrats intelligents à grande échelle. Claude Opus 4.5 et GPT-5 ont découvert des exploits fonctionnels dans 19 contrats intelligents déployés après leurs coupures de formation respectives, simulant 550,1 millions de dollars de dommages potentiels.

Deux vulnérabilités zero-day ont été identifiées dans des contrats actifs de la BNB Smart Chain, d’une valeur de 3 694 dollars, découvertes à un coût remarquablement faible de 3 476 dollars en dépenses API. La recherche indique que la vitesse de découverte des exploits double chaque mois, tandis que les coûts par exploit fonctionnel continuent de diminuer—une trajectoire dangereuse pour la sécurité de la blockchain.

Les arnaques explosent avec la prolifération des deepfakes générés par l’IA

L’impact des attaques pilotées par l’IA dépasse l’exploitation de code. Chainabuse a rapporté que les arnaques crypto alimentées par l’IA ont augmenté de 456 % d’une année sur l’autre jusqu’en avril 2025, alimentées par des vidéos deepfake et des clones vocaux convaincants. Les portefeuilles de scam reçoivent désormais 60 % des dépôts provenant de campagnes utilisant de fausses identités générées par l’IA avec des réponses automatisées en temps réel.

Les attaquants déploient de plus en plus de bots simulant des entretiens techniques pour inciter les développeurs à télécharger des outils malveillants déguisés. La composante d’ingénierie sociale rend ces attaques particulièrement efficaces contre des professionnels occupés jonglant avec plusieurs projets.

Cependant, les données de décembre de PeckShield offrent une petite lueur d’espoir : les hacks liés à la crypto ont diminué de 60 %, atteignant $76 millions en décembre contre 194,2 millions de dollars en novembre. Pourtant, cette réduction est faible face à l’ampleur de la découverte d’exploits accélérée par l’IA et de la prolifération des scams tout au long de 2025.

Ce que les développeurs crypto doivent faire maintenant

La convergence des vulnérabilités des outils de codage IA, des attaques étatiques contre les contrats intelligents et de la prolifération des scams générés par l’IA crée un environnement de menace sans précédent pour le développement de cryptomonnaies. Les développeurs doivent traiter les dossiers de projets non fiables avec une extrême prudence, vérifier les sources des packages NPM et mettre en œuvre une séparation stricte entre les environnements de développement et les systèmes contenant des identifiants sensibles. Les outils d’IA, malgré tous leurs bénéfices en productivité, sont devenus des vecteurs de responsabilité potentielle sans protocoles de sécurité opérationnelle appropriés.