Kampanye Malware TrapDoor Menargetkan Ekosistem Pengembang Aptos, Solana, dan Sui

• Malware TrapDoor menyebar melalui paket pengembang kripto palsu di seluruh registri.
• Penyerang menargetkan kunci SSH, token AWS, dan kredensial dompet dalam build di seluruh dunia.
• Para peneliti menghubungkan unggahan terkoordinasi ke ekosistem perkakas Aptos, Sui, dan Solana.

Para peneliti telah menemukan kampanye malware terkoordinasi yang menargetkan pengembang cryptocurrency melalui paket perangkat lunak palsu yang tersebar di seluruh registri pengkodean utama. Operasi, bernama TrapDoor, berfokus pada lingkungan pengembang yang terhubung ke ekosistem blockchain seperti Aptos, Sui, dan Solana. Analis keamanan memperingatkan bahwa kampanye tersebut bertujuan untuk mencuri kredensial sensitif dari mesin yang digunakan dalam alur kerja pengembangan kripto.

Para peneliti dari Socket Security menemukan lebih dari 34 paket berbahaya yang didistribusikan di npm, PyPI, dan Crates.io. Secara keseluruhan, kampanye ini melibatkan lebih dari 384 versi paket. Para penyerang merancang perangkat lunak agar tampak sah dengan meniru utilitas pengembangan populer dan alat blockchain.

Malware Menargetkan Kredensial Pengembang

Paket berbahaya menargetkan informasi bernilai tinggi yang disimpan di sistem pengembang. Malware mencari kunci SSH, kredensial AWS, token akses GitHub, penyimpanan kunci dompet, dan database login browser. Akibatnya, sistem yang disusupi dapat mengekspos infrastruktur pribadi dan perusahaan yang terkait dengan proyek kripto.

Para peneliti mengidentifikasi beberapa paket Rust yang mencurigakan di Crates.io, termasuk sui-framework-helpers, move-analyzer-build, dan sui-move-build-helper. Selain itu, paket npm membawa nama seperti crypto-credential-scanner dan wallet-security-checker. Paket PyPI termasuk eth-security-auditor dan defi-risk-scanner.

Penyerang mengandalkan metode eksekusi otomatis dalam setiap ekosistem pemrograman. Paket npm menyalahgunakan kait pascainstalasi, sementara modul Python dijalankan selama impor. Paket Rust diaktifkan melalui skrip build.rs selama kompilasi. Oleh karena itu, pengembang dapat menginfeksi mesin mereka selama prosedur instalasi biasa tanpa memperhatikan perilaku yang mencurigakan.

Terkait: 3 Skenario Utama untuk Harga XRP Mencapai $5 pada tahun 2026, Claude, ChatGPT, Grok, dan Gemini Prediksi

Penempatan Terkoordinasi Menimbulkan Kekhawatiran

Peneliti soket melacak paket paling awal yang diketahui ke unggahan PyPI yang disebut [email protected]. Paket itu muncul pada Jumat malam, diikuti dengan rilis roda kompilasi beberapa menit kemudian. Selain itu, para peneliti mengamati gelombang unggahan yang dikelompokkan secara ketat di beberapa registri dan akun pengguna.

Pola penyebaran menyarankan koordinasi terorganisir daripada eksperimen terisolasi. Para peneliti mencatat bahwa penyerang sengaja memilih nama yang terkait dengan infrastruktur kripto, perkakas DeFi, kerangka kerja AI, dan utilitas audit keamanan. Lingkungan ini sering menyimpan kredensial keuangan dan kunci autentikasi istimewa.

Lingkungan Pengembangan Kripto Menghadapi Ancaman yang Berkembang

Kampanye TrapDoor menyoroti meningkatnya risiko seputar ekosistem perangkat lunak sumber terbuka yang mendukung proyek aset digital. Pengembang sering menginstal paket pihak ketiga untuk mempercepat alur kerja, terutama dalam sektor blockchain yang bergerak cepat. Namun, penyerang terus mengeksploitasi kepercayaan itu untuk mendapatkan akses ke infrastruktur sensitif.

Pakar keamanan mendesak pengembang untuk memverifikasi pengelola paket dengan hati-hati sebelum menginstal. Selain itu, organisasi harus memantau perilaku dependensi selama proses build dan mengisolasi kredensial penting dari mesin pengembangan. Para peneliti menggambarkan kampanye ini sebagai skala yang relatif kecil namun berpotensi parah dalam dampaknya karena nilai sistem yang ditargetkan.

Terkait: Rusia Membuang Emas, Beralih ke XRP Karena Tekanan Sanksi