Krypto-News-Tag-Aggregation & thematische Inhalte

researchers-flag-trapdoor-malware-campaign-targeting-crypto-developer-environments-including-aptos-sui-and-solana

Forscher warnen vor TrapDoor-Malware-Kampagne, die Krypto-Entwicklerumgebungen ins Visier nimmt, darunter Aptos, Sui und Solana

Die TrapDoor-Malware-Kampagne hat laut Socket Security über mehr als 34 bösartige Pakete und über 384 zugehörige Versionen auf npm, PyPI und Crates.io genutzt, um Krypto-Entwicklungsumgebungen anzugreifen, die mit Aptos, Sui und Solana verbunden sind. Die Pakete geben sich als Entwickler-Tools für Krypto-, DeFi-, KI- und Sicherheits-Workflows aus und nutzen Postinstall-Hooks, Python-Import-Trigger sowie Rust-Build.rs-Skripte, um Anmeldedaten zu stehlen.

2026-05-25 Quelle:theblock.co

Forscher von Socket Security haben über 34 bösartige Pakete in drei Programmiersprachen-Registries identifiziert, die Krypto-Entwicklungsumgebungen, einschließlich der Aptos-, Sui- und Solana-Ökosysteme, ins Visier nehmen.

Die Kampagne mit dem Namen TrapDoor erstreckt sich über npm, PyPI und Crates.io mit insgesamt über 384 Versionen. Zu den identifizierten bösartigen Paketen gehören sui-framework-helpers, sui-move-build-helper und move-analyzer-build auf Crates.io, sowie mehrere npm- und PyPI-Pakete, wie die Socket-Forscher am Sonntag in einer Erklärung mitteilten.

Die Forscher gaben an, dass die Malware darauf ausgelegt ist, SSH-Schlüssel, Wallet-Keystores, AWS-Zugangsdaten, GitHub-Tokens und Browser-Login-Datenbanken von Entwickler-Maschinen zu stehlen. Die Pakete werden über ökosystemspezifische Mechanismen ausgeführt, darunter npm postinstall hooks, Python import triggers und Rust build.rs-Skripte.

Laut Socket Security war das früheste beobachtete Paket das PyPI-Modul [email protected], das am Freitag um 20:20 UTC hochgeladen wurde, wobei ein kompiliertes Wheel zwei Minuten später veröffentlicht wurde. Die Pakete wurden in schneller Abfolge von mehreren Konten freigegeben und erschienen in eng gebündelten Bereitstellungswellen über die Registries hinweg, so der Bericht.

Die npm-Pakete der Kampagne umfassten Tools wie crypto-credential-scanner, defi-env-auditor und wallet-security-checker, während sich die Crates.io-Pakete auf Sui- und Move-Entwicklungstools konzentrierten, darunter move-project-builder und sui-sdk-build-utils. PyPI-Pakete umfassten eth-security-auditor und defi-risk-scanner, die so konzipiert sind, dass sie während standardmäßiger Entwicklungsabläufe automatisch ausgeführt werden.

Die Socket-Forscher gaben an, dass die Paketnamen so gestaltet wurden, dass sie Entwicklungstools für Krypto-, DeFi-, KI- und Sicherheits-Workflows ähneln und Umgebungen ins Visier nehmen, in denen Cloud-Zugangsdaten, SSH-Schlüssel und Wallet-Daten auf Entwickler-Maschinen gespeichert sein könnten.

Das Unternehmen beschrieb die Kampagne als eine Operation mit geringem Volumen, aber hoher Auswirkung, bei der eine relativ kleine Anzahl von Paketen über mehrere Registries verteilt wurde, die jedoch Umgebungen mit hochsensiblen Authentifizierungs- und Finanzdaten ins Visier nehmen.

Haftungsausschluss: The Block ist ein unabhängiges Medienunternehmen, das Nachrichten, Recherchen und Daten liefert. Seit November 2023 ist Foresight Ventures Mehrheitsinvestor von The Block. Foresight Ventures investiert in andere Unternehmen im Krypto-Bereich. Die Krypto-Börse Bitget ist ein Anker-LP für Foresight Ventures. The Block arbeitet weiterhin unabhängig, um objektive, wirkungsvolle und zeitnahe Informationen über die Krypto-Branche zu liefern. Hier sind unsere aktuellen finanziellen Offenlegungen.

© 2026 The Block. Alle Rechte vorbehalten. Dieser Artikel dient ausschließlich zu Informationszwecken. Er stellt keine Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung dar und ist nicht als solche gedacht.