Cargando precios…
🩸BEARISH

TrapDoor: 34+ paquetes maliciosos en npm y PyPI roban credenciales

El verdadero objetivo no es el archivo de monedero del desarrollador, sino la estación de trabajo, donde las claves SSH, las credenciales de AWS, los tokens de GitHub y las sesiones activas de programación con IA comparten la misma máquina.

TrapDoor: 34+ paquetes maliciosos en npm y PyPI roban credenciales
TrapDoor: 34+ paquetes maliciosos en npm y PyPI roban credenciales
TrapDoor: 34+ paquetes maliciosos en npm y PyPI roban credenciales
TrapDoor: 34+ paquetes maliciosos en npm y PyPI roban credenciales

Investigadores de la firma de seguridad Socket revelaron esta semana una campaña de cadena de suministro bautizada como TrapDoor, identificando más de 34 paquetes maliciosos repartidos entre npm, PyPI y Crates.io, con cientos de versiones y artefactos relacionados. Los paquetes se disfrazaban de herramientas de desarrollo aparentemente rutinarias, con nombres como "wallet-security-checker", "defi-risk-scanner", "solidity-build-guard" y "move-compiler-tools", y estaban tematizados específicamente para atraer a desarrolladores de Solana, Sui, Aptos, DeFi, IA y seguridad que custodian credenciales reales en sus máquinas de compilación.

Una vez instalados, los payloads se ejecutaban de formas distintas en los tres ecosistemas: los paquetes de Rust empleaban scripts maliciosos en build.rs que se ejecutaban durante la compilación, dirigidos a desarrolladores de Sui y Move; los paquetes de PyPI ejecutaban JavaScript remoto al importarse; los paquetes de npm usaban hooks de postinstall. El malware buscaba en las máquinas de los desarrolladores claves privadas, archivos de monedero, tokens de GitHub, credenciales de AWS y claves SSH, probaba las credenciales robadas y dejaba caer archivos diseñados para mantener el acceso activo de cara a un movimiento posterior hacia la infraestructura corporativa.

Por qué importa

Los ataques a la cadena de suministro están diseñados para atrapar a las personas con más probabilidades de custodiar las claves, no a usuarios minoristas al azar. Los paquetes de TrapDoor se tematizaron para ingenieros de cripto e IA precisamente porque esos desarrolladores tienden a tener archivos de monedero, claves SSH, tokens de GitHub, credenciales en la nube y acceso a producción en la misma máquina que usan para compilar. Las claves SSH robadas, en particular, pueden permitir a un atacante pivotar desde un único portátil comprometido hacia la infraestructura más amplia de una empresa.

La campaña también abusó de archivos de configuración de IA como .cursorrules y CLAUDE.md, plantando instrucciones ocultas mediante caracteres Unicode de ancho cero. El objetivo era conseguir que futuras sesiones de asistentes de programación con IA ejecutaran falsos "análisis de seguridad" que recopilan y exfiltran secretos, convirtiendo un ladrón de paquetes en malware del entorno de desarrollo donde la instalación del paquete es solo el primer paso.

Impacto en el mercado

Socket afirma que reportó los paquetes a los registros afectados y clasificó la campaña como maliciosa, pero no reveló víctimas identificadas ni fondos robados.

Tokens relacionados
$SOL $APT $SUI

Preguntas frecuentes

  1. ¿Qué es el ataque a la cadena de suministro TrapDoor?

    TrapDoor es una campaña de cadena de suministro revelada por la firma de seguridad Socket que plantó más de 34 paquetes maliciosos en npm, PyPI y Crates.io, disfrazados de utilidades de desarrollo tematizadas para tooling de cripto, DeFi, IA y seguridad.

  2. ¿Qué robaban en realidad los paquetes de TrapDoor?

    Los paquetes buscaban en las máquinas de los desarrolladores archivos de monedero, claves privadas, claves SSH, tokens de GitHub, credenciales de AWS y datos del navegador, probaban las credenciales robadas contra servicios activos y dejaban caer archivos de persistencia para mantener el acceso.

  3. ¿Cómo atacaban específicamente a desarrolladores de Solana, Sui y Aptos?

    Los nombres de los paquetes se eligieron para parecer herramientas rutinarias que esos desarrolladores podrían instalar — "solidity-build-guard", "move-compiler-tools" y similares — mientras que los payloads de Rust usaban scripts maliciosos en build.rs que se ejecutaban durante la compilación para atacar flujos de…

  4. ¿Qué papel juegan .cursorrules y CLAUDE.md en el ataque TrapDoor?

    Los atacantes plantaron instrucciones ocultas dentro de archivos de configuración de IA usando caracteres Unicode de ancho cero, con el objetivo de que futuras sesiones de asistentes de programación con IA ejecutaran falsos "análisis de seguridad" que exfiltraran secretos del entorno del desarrollador.

  5. ¿Se han confirmado pérdidas por la campaña TrapDoor?

    Socket afirma que reportó los paquetes a los registros afectados y los clasificó como maliciosos, pero no reveló víctimas concretas ni cuantificó los fondos robados. El atacante también abrió pull requests contra proyectos de IA y desarrollo para ampliar la distribución a través de las vías habituales de contribución…

Atribución de fuente
Agregado de CoinDesk · Verificado · Última actualización hace 51d
Abrir original →