- O malware TrapDoor se espalha por pacotes falsos de desenvolvedores de criptomoedas em vários registros.
- Atacantes miraram chaves SSH, tokens AWS e credenciais de carteira em builds ao redor do mundo.
- Pesquisadores vincularam uploads coordenados aos ecossistemas de ferramentas Aptos, Sui e Solana.
Pesquisadores descobriram uma campanha coordenada de malware que tem como alvo desenvolvedores de criptomoedas por meio de pacotes de software falsos espalhados por grandes registros de programação. A operação, chamada TrapDoor, focava em ambientes para desenvolvedores conectados a ecossistemas blockchain, como Aptos, Sui e Solana. Analistas de segurança alertaram que a campanha tinha como objetivo roubar credenciais sensíveis de máquinas usadas em fluxos de trabalho de desenvolvimento de criptomoedas.
Pesquisadores da Socket Security descobriram mais de 34 pacotes maliciosos distribuídos entre npm, PyPI e Crates.io. Ao todo, a campanha envolveu mais de 384 versões em pacotes. Os atacantes projetaram o software para parecer legítimo, imitando utilitários populares de desenvolvimento e ferramentas de blockchain.
Malware Mira Credenciais de Desenvolvedores
Os pacotes maliciosos tinham como alvo informações de alto valor armazenadas em sistemas de desenvolvedores. O malware buscava por chaves SSH, credenciais AWS, tokens de acesso ao GitHub, keystores de carteiras e bancos de dados de login do navegador. Consequentemente, sistemas comprometidos podem expor tanto infraestrutura pessoal quanto corporativa ligada a projetos cripto.
Pesquisadores identificaram vários pacotes Rust suspeitos no Crates.io, incluindo sui-framework-helpers, move-analyzer-build e sui-move-build-helper. Além disso, os pacotes npm carregavam nomes como scanner de credenciais cripto(a) (scanner-de credenciais) (scanner-de credenciais) e verificador-de segurança de carteira. Os pacotes PyPI incluíam eth-security-auditor e defi-risk-scanner.
Os atacantes dependiam de métodos de execução automatizados dentro de cada ecossistema de programação. os pacotes npm abusavam dos hooks pós-instalação, enquanto módulos Python eram executados durante as importações. Pacotes Rust são ativados por meio de scripts build.rs durante a compilação. Assim, os desenvolvedores podiam infectar suas máquinas durante procedimentos normais de instalação sem perceber comportamentos suspeitos.
Relacionado: 3 cenários-chave para o preço do XRP chegar a $5 em 2026, Claude, ChatGPT, Grok e Gemini predizem
Desdobramento Coordenado Gerou Preocupações
Pesquisadores do Socket rastrearam o pacote mais antigo conhecido até um upload do PyPI chamado [email protected]. O pacote foi lançado na sexta-feira à noite, seguido por uma compilação do lançamento da roda minutos depois. Além disso, os pesquisadores observaram ondas de uploads agrupadas de forma muito próxima em vários registros e contas de usuários.
O padrão de implantação sugeria coordenação organizada, em vez de experimentação isolada. Pesquisadores observaram que os atacantes escolheram intencionalmente nomes associados à infraestrutura criptográfica, ferramentas DeFi, frameworks de IA e utilitários de auditoria de segurança. Esses ambientes frequentemente armazenam credenciais financeiras e chaves de autenticação privilegiadas.
Ambientes de Desenvolvimento de Criptomoedas enfrentam ameaças crescentes
A campanha TrapDoor destaca os riscos crescentes que cercam ecossistemas de software de código aberto que apoiam projetos de ativos digitais. Desenvolvedores frequentemente instalam pacotes de terceiros para acelerar fluxos de trabalho, especialmente em setores blockchain de alta mobilidade. No entanto, os atacantes continuam explorando essa confiança para obter acesso a infraestruturas sensíveis.
Especialistas em segurança incentivaram os desenvolvedores a verificarem cuidadosamente os mantenedores dos pacotes antes da instalação. Além disso, as organizações devem monitorar o comportamento das dependências durante os processos de compilação e isolar credenciais críticas das máquinas de desenvolvimento. Pesquisadores descreveram a campanha como relativamente pequena em escala, mas potencialmente severa em impacto devido ao valor dos sistemas-alvo.
Relacionado: Rússia despede ouro e migra para XRP devido à pressão das sanções
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
