Netcrook Logo
👤 LOGICFALCON
🗓️ 08 Apr 2026  

Proxy IA ou Cheval de Troie ? Un package PyPI démasque les développeurs et vole des données sensibles

Un package Python séduisant, promettant un accès IA sécurisé et anonyme, s’avère être un outil d’exfiltration de données exploitant des prompts IA volés et l’infrastructure d’une université.

Cela ressemblait à un cadeau pour les développeurs : un package Python gratuit, compatible OpenAI, appelé hermes-px, qui acheminait les requêtes IA via Tor, promettant une inférence sécurisée et anonyme. En réalité, il s’agissait d’un piège soigneusement conçu - qui siphonnait les données des utilisateurs, exposait les adresses IP réelles et exploitait des prompts IA volés, tout en se faisant passer pour un outil légitime. La découverte, réalisée par l’équipe de recherche en sécurité de JFrog, révèle le nouveau niveau de sophistication des attaques sur la chaîne d’approvisionnement visant la communauté des développeurs IA.

En bref

  • Hermes-px, un package PyPI, se présentait comme un proxy IA sécurisé mais enregistrait secrètement les données des utilisateurs et leurs adresses IP réelles.
  • Le package détournait un endpoint IA privé d’une université et utilisait un prompt système Anthropic Claude volé, maladroitement rebaptisé “AXIOM-1”.
  • Les prompts des utilisateurs et les réponses de l’IA étaient envoyés directement à une base de données contrôlée par l’attaquant, contournant Tor et brisant l’anonymat promis.
  • Toute la télémétrie et les identifiants étaient chiffrés en plusieurs couches pour échapper à la détection par les scanners de sécurité.
  • La documentation professionnelle du package et son intégration transparente imitaient les SDK IA de confiance, attirant des développeurs peu méfiants.

Sous la surface : une tromperie déguisée en innovation

Contrairement à la plupart des packages malveillants qui trahissent leurs intentions par une documentation bâclée ou un code défectueux, hermes-px était un véritable chef-d’œuvre d’ingénierie sociale. Il proposait une API presque identique à celle du SDK Python officiel d’OpenAI, avec des guides détaillés, une gestion des erreurs et même un pipeline avancé de génération augmentée par récupération. Le package se faisait passer pour un produit du fictif “EGen Labs”, renforçant encore sa crédibilité.

Mais sous ce vernis soigné, la corruption était profonde. Le package incitait les utilisateurs à exécuter du code Python arbitraire depuis un dépôt GitHub distant, offrant aux attaquants la possibilité de mettre à jour ou d’étendre leur charge utile à volonté. Le cœur du package contenait un fichier compressé, base_prompt.pz, qui, une fois décompressé, révélait une copie massive, presque mot pour mot, du prompt système confidentiel Claude d’Anthropic - maladroitement rebaptisé mais encore truffé d’identifiants d’origine.

Alors que les requêtes IA étaient acheminées via Tor - censées garantir l’anonymat des utilisateurs - les données de télémétrie les plus sensibles étaient envoyées directement à une base de données Supabase contrôlée par l’attaquant. Ces données critiques, incluant les questions des utilisateurs, les réponses de l’IA et les adresses IP réelles des victimes, n’étaient jamais anonymisées. Un chiffrement en triple couche masquait la communication aux contrôles de sécurité statiques, rendant la détection extrêmement difficile.

En exploitant à la fois la confiance de la communauté des développeurs et l’infrastructure d’une université sans méfiance, les attaquants ont mis en place un stratagème élaboré qui est resté indétecté jusqu’à ce qu’une analyse experte en révèle la véritable finalité. Toute personne ayant installé hermes-px est invitée à le désinstaller immédiatement, à renouveler ses identifiants et à considérer toutes les données transmises comme compromises.

Conclusion : le nouveau visage des menaces open source

L’incident hermes-px est un avertissement sévère : à mesure que les outils IA se multiplient et que les écosystèmes open source grandissent, les attaquants montent en puissance. Même les packages les plus aboutis peuvent dissimuler des intentions malveillantes, exploitant la confiance et la complexité technique à parts égales. Vigilance, scepticisme et revue de code rigoureuse ne sont plus optionnels - ils sont essentiels pour survivre dans la chaîne d’approvisionnement logicielle d’aujourd’hui.

WIKICROOK

  • PyPI : PyPI est le principal dépôt en ligne de packages logiciels Python, permettant aux développeurs de partager, télécharger et gérer facilement du code Python.
  • Réseau Tor : Le réseau TOR est un outil de confidentialité qui achemine le trafic Internet via plusieurs serveurs, rendant difficile le traçage de l’identité ou des actions en ligne des utilisateurs.
  • Prompt système : Un prompt système est un ensemble d’instructions donné à un modèle IA pour guider son comportement, ses réponses et assurer des interactions cohérentes et sécurisées.
  • Exfiltration : L’exfiltration est le transfert non autorisé de données sensibles du réseau d’une victime vers un système externe contrôlé par des attaquants.
  • Attaque sur la chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations simultanément.
AI Security Data Exfiltration Supply Chain Attack
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news