Un ataque coordinado a la cadena de suministro de software está dirigido a desarrolladores de criptomonedas e IA con más de 34 paquetes maliciosos diseñados para robar credenciales y activos digitales. La campaña, denominada "TrapDoor" por la plataforma de desarrolladores Socket, se detectó por primera vez el 22 de mayo y abarca los registros de paquetes de código abierto npm, PyPI y Crates.io.
"TrapDoor se dirige a desarrolladores de las comunidades de criptomonedas, DeFi, Solana e IA", afirmó Socket en un informe publicado el domingo. "Los paquetes maliciosos están diseñados para robar secretos de desarrolladores, billeteras criptográficas, claves SSH, credenciales en la nube, datos del navegador y variables de entorno".
La campaña de malware destaca por su enfoque multiplataforma, utilizando diferentes métodos de ataque para cada ecosistema. En npm, utiliza ganchos postinstall para ejecutar una carga útil de robo de credenciales. Los paquetes de Python en PyPI están diseñados para buscar y ejecutar JavaScript remoto al importar, mientras que los paquetes de Rust en Crates.io utilizan scripts build.rs maliciosos para encontrar y exfiltrar almacenes de claves locales. El ataque se dirige específicamente a billeteras para Sui, Solana y Aptos, entre otras.
La operación también revela un nuevo vector de amenaza que intenta secuestrar asistentes de codificación de IA. Los atacantes enviaron solicitudes de extracción (pull requests) a proyectos de IA populares como LangChain y Langflow, agregando instrucciones ocultas en archivos de configuración como .cursorrules y CLAUDE.md. Socket dijo que el objetivo parece ser engañar a las herramientas de IA para que ejecuten "escaneos de seguridad" falsos que descubrirían y exfiltrarían secretos del entorno de un desarrollador, mostrando cómo los atacantes están evolucionando para atacar los flujos de trabajo modernos de los desarrolladores.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento de inversión.
