- El malware TrapDoor se propaga a través de paquetes falsos de desarrolladores cripto en los registros.
- Los atacantes atacaron claves SSH, tokens AWS y credenciales de monedero en compilaciones de todo el mundo.
- Los investigadores vincularon las subidas coordinadas a los ecosistemas de herramientas Aptos, Sui y Solana.
Los investigadores han descubierto una campaña coordinada de malware que apunta a desarrolladores de criptomonedas mediante paquetes de software falsos repartidos en los principales registros de codificación. La operación, llamada TrapDoor, se centraba en entornos para desarrolladores conectados a ecosistemas blockchain como Aptos, Sui y Solana. Analistas de seguridad advirtieron que la campaña tenía como objetivo robar credenciales sensibles de las máquinas utilizadas en los flujos de trabajo de desarrollo criptográfico.
Investigadores de Socket Security descubrieron más de 34 paquetes maliciosos distribuidos entre npm, PyPI y Crates.io. En total, la campaña incluyó más de 384 versiones en paquete. Los atacantes diseñaron el software para que pareciera legítimo imitando las populares utilidades de desarrollo y herramientas blockchain.
El malware apunta a las credenciales de los desarrolladores
Los paquetes maliciosos se dirigían a información de alto valor almacenada en sistemas de desarrolladores. El malware buscaba claves SSH, credenciales AWS, tokens de acceso a GitHub, almacenes de acceso de cartera y bases de datos de inicio de sesión del navegador. En consecuencia, sistemas comprometidos podrían exponer tanto infraestructuras personales como corporativas vinculadas a proyectos cripto.
Los investigadores identificaron varios paquetes Rust sospechosos en Crates.io, incluyendo sui-framework-helpers, move-analyzer-build y sui-move-build-helper. Además, los paquetes npm llevaban nombres como crypto-credential-scanner y wallet-security-checker. Los paquetes PyPI incluían eth-security-auditor y defi-risk-scanner.
Los atacantes dependían de métodos de ejecución automatizados dentro de cada ecosistema de programación. los paquetes npm abusaban de los hooks postinstalación, mientras que los módulos de Python se ejecutaban durante las importaciones. Los paquetes Rust se activan mediante scripts build.rs durante la compilación. Por lo tanto, los desarrolladores podían infectar sus máquinas durante los procedimientos habituales de instalación sin detectar comportamientos sospechosos.
Relacionado: 3 escenarios clave para que el precio de XRP alcance los 5 dólares en 2026, predicen Claude, ChatGPT, Grok y Gemini
El despliegue coordinado suscitó preocupaciones
Los investigadores de sockets rastrearon el paquete más antiguo conocido hasta una subida de PyPI llamada [email protected]. El paquete apareció el viernes por la tarde, seguido de una versión compilada de la rueda minutos después. Además, los investigadores observaron oleadas de subidas agrupadas en varios registros y cuentas de usuario.
El patrón de despliegue sugería coordinación organizada en lugar de experimentación aislada. Los investigadores señalaron que los atacantes seleccionaron intencionadamente nombres asociados a infraestructuras cripto, herramientas DeFi, marcos de IA y utilidades de auditoría de seguridad. Estos entornos suelen almacenar credenciales financieras y claves de autenticación privilegiadas.
Los entornos de desarrollo cripto enfrentan amenazas crecientes
La campaña TrapDoor pone de manifiesto los crecientes riesgos que rodean a los ecosistemas de software de código abierto que apoyan proyectos de activos digitales. Los desarrolladores instalan con frecuencia paquetes de terceros para acelerar los flujos de trabajo, especialmente en sectores blockchain de rápida evolución. Sin embargo, los atacantes siguen explotando esa confianza para acceder a infraestructuras sensibles.
Los expertos en seguridad instaron a los desarrolladores a verificar cuidadosamente los mantenedores de los paquetes antes de la instalación. Además, las organizaciones deben monitorizar el comportamiento de las dependencias durante los procesos de compilación y aislar las credenciales críticas de las máquinas de desarrollo. Los investigadores describieron la campaña como relativamente pequeña en escala, pero potencialmente grave en impacto debido al valor de los sistemas objetivo.
Relacionado: Rusia se deshace de oro y pasa a XRP debido a la presión de las sanciones
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
