BCGAME - Bônus diário grátis de 5BTC!- TrapDoor rouba carteiras e credenciais de criptomoedas
- Pacotes falsos atingem ecossistemas Aptos, Sui e Solana
- Malware em npm, PyPI e Crates.io preocupa desenvolvedores
Pesquisadores da Socket Security identificaram uma nova campanha de malware voltada para ambientes de desenvolvimento ligados ao mercado de criptomoedas. A operação, chamada TrapDoor, utilizou dezenas de pacotes maliciosos distribuídos em registros populares de linguagens de programação para atingir desenvolvedores dos ecossistemas Aptos, Sui e Solana.
Segundo o relatório divulgado pela empresa, mais de 34 pacotes comprometidos foram encontrados nos repositórios npm, PyPI e Crates.io. Ao todo, a campanha envolveu mais de 384 versões distribuídas em diferentes plataformas utilizadas por programadores.
Entre os pacotes identificados estavam ferramentas falsas como sui-framework-helpers, sui-move-build-helper e move-analyzer-build, publicadas no Crates.io. Já no npm e no PyPI, os invasores utilizaram nomes associados a auditoria, segurança e ferramentas DeFi para aumentar as chances de instalação pelos desenvolvedores.
Os pesquisadores afirmaram que o objetivo principal do malware era roubar informações sensíveis armazenadas nas máquinas dos profissionais. Isso incluía chaves SSH, credenciais da AWS, tokens do GitHub, bancos de dados de login de navegadores e arquivos relacionados a carteiras digitais.
O funcionamento da ameaça explorava mecanismos nativos de cada ecossistema. Nos pacotes npm, o malware era executado por meio de hooks pós-instalação. No Python, os gatilhos eram ativados durante importações de módulos, enquanto no Rust os scripts build.rs eram usados para iniciar o código malicioso automaticamente.
De acordo com a Socket Security, o primeiro pacote detectado foi o [email protected], enviado ao PyPI na sexta-feira às 20h20 UTC. Apenas dois minutos depois, uma versão compilada do mesmo pacote foi publicada, indicando uma operação automatizada e coordenada.
Os pesquisadores observaram que os pacotes foram liberados rapidamente por diferentes contas, surgindo em ondas sincronizadas entre os registros. Ferramentas falsas como crypto-credential-scanner, defi-env-auditor e wallet-security-checker também foram usadas na campanha.
No caso do Crates.io, os criminosos concentraram os ataques em ferramentas ligadas ao desenvolvimento Sui e Move, incluindo move-project-builder e sui-sdk-build-utils. Já os pacotes do PyPI buscavam se infiltrar em fluxos normais de desenvolvimento, sendo executados automaticamente sem chamar atenção.
A empresa classificou a operação como uma campanha de baixo volume, porém com alto potencial de impacto, devido ao foco em ambientes que armazenam credenciais financeiras e dados de autenticação considerados valiosos.
