كشف باحثون في Socket Security عن أكثر من 34 حزمة ضارة عبر ثلاثة سجلات لغات برمجة تستهدف بيئات مطوري العملات المشفرة، بما في ذلك أنظمة Aptos وSui وSolana البيئية.

تمتد الحملة، التي أطلق عليها اسم TrapDoor، عبر npm وPyPI وCrates.io بأكثر من 384 إصدارًا إجماليًا. وتشمل الحزم الضارة التي تم تحديدها sui-framework-helpers وsui-move-build-helper وmove-analyzer-build على Crates.io، إلى جانب العديد من حزم npm وPyPI، حسبما أفاد باحثو Socket في بيان يوم الأحد. 

قال الباحثون إن البرمجيات الخبيثة مصممة لسرقة مفاتيح SSH ومخازن مفاتيح المحافظ وبيانات اعتماد AWS ورموز GitHub وقواعد بيانات تسجيل الدخول للمتصفح من أجهزة المطورين. وتنفذ هذه الحزم من خلال آليات خاصة بالنظام البيئي، بما في ذلك خطافات ما بعد التثبيت (npm postinstall hooks) في npm، ومحفزات الاستيراد في Python، وسكربتات build.rs في Rust.

وفقًا لـ Socket Security، كانت أقدم حزمة تمت ملاحظتها هي وحدة PyPI المسماة [email protected]، والتي تم تحميلها يوم الجمعة في الساعة 20:20 بالتوقيت العالمي المنسق (UTC)، مع نشر نسخة مُجمعة (compiled wheel) بعد دقيقتين. وقد تم إطلاق الحزم بتتابع سريع بواسطة حسابات متعددة وظهرت عبر السجلات في موجات نشر متقاربة، حسب التقرير.

شملت حزم npm في الحملة أدوات مثل crypto-credential-scanner وdefi-env-auditor وwallet-security-checker، بينما ركزت حزم Crates.io على أدوات تطوير Sui وMove، بما في ذلك move-project-builder وsui-sdk-build-utils. وشملت حزم PyPI أدوات eth-security-auditor وdefi-risk-scanner، المصممة للتنفيذ تلقائيًا خلال سير عمل التطوير القياسي.

قال باحثو Socket إن أسماء الحزم صُممت لتحاكي أدوات التطوير عبر مسارات عمل العملات المشفرة، والتمويل اللامركزي (DeFi)، والذكاء الاصطناعي (AI)، والأمان، مستهدفة البيئات التي قد تُخزّن فيها بيانات اعتماد السحابة ومفاتيح SSH وبيانات المحفظة على أجهزة المطورين.

وصفت الشركة الحملة بأنها عملية منخفضة الحجم ولكنها عالية التأثير، حيث تم توزيع عدد صغير نسبيًا من الحزم عبر سجلات متعددة ولكنها تستهدف بيئات تحتوي على بيانات اعتماد مصادقة ومالية عالية القيمة.