La divulgación de Socket el 24 de mayo sobre la campaña TrapDoor descubrió más de 34 paquetes maliciosos y 384 versiones relacionadas distribuidas en npm, PyPI y Crates.io, cada una dirigida a los desarrolladores que construyen protocolos DeFi, no a los contratos en sí. Las cargas útiles entregadas a través de hooks de postinstalación, scripts activados por importaciones y archivos de compilación de Rust significan que una sola instalación de paquete es todo lo que se necesita para comprometer la máquina de un desarrollador, robar claves SSH, tokens de GitHub y credenciales en la nube, y abrir un camino hacia las tuberías CI/CD y las claves de despliegue que gobiernan cómo los protocolos llegan a mainnet.
La campaña también intentó plantar instrucciones Unicode ocultas dentro de archivos de configuración de asistentes de codificación de IA como .cursorrules y CLAUDE.md, convirtiendo efectivamente los flujos de trabajo asistidos por IA en mecanismos de exfiltración.
TheBlock
Lookonchain
WuBlockchain