A divulgação da campanha TrapDoor pela Socket em 24 de maio revelou mais de 34 pacotes maliciosos e 384 versões relacionadas espalhadas pelo npm, PyPI e Crates.io — cada um visando os desenvolvedores que constroem protocolos DeFi, e não os contratos em si. Os payloads entregues através de hooks de pós-instalação, scripts acionados por importação e arquivos de construção Rust significam que uma única instalação de pacote é tudo o que é necessário para comprometer a máquina de um desenvolvedor, roubar chaves SSH, tokens do GitHub e credenciais de nuvem, e abrir um caminho para os pipelines CI/CD e chaves de implantação que governam como os protocolos chegam à mainnet.
A campanha também tentou plantar instruções Unicode ocultas dentro de arquivos de configuração de assistentes de codificação AI, como .cursorrules e CLAUDE.md, transformando efetivamente fluxos de trabalho assistidos por AI em mecanismos de exfiltração.
TheBlock
Lookonchain
WuBlockchain