Investigadores de Socket Security identificaron más de 34 paquetes maliciosos en tres registros de lenguajes de programación que atacaban entornos de desarrollo cripto, incluyendo los ecosistemas Aptos, Sui y Solana.
Bautizada como TrapDoor, la campaña abarca npm, PyPI y Crates.io con más de 384 versiones en total. Los paquetes maliciosos identificados incluyen sui-framework-helpers, sui-move-build-helper y move-analyzer-build en Crates.io, junto con múltiples paquetes de npm y PyPI, según informaron los investigadores de Socket en un comunicado el domingo.
Los investigadores señalaron que el malware está diseñado para robar claves SSH, almacenes de claves de monederos (wallet keystores), credenciales de AWS, tokens de GitHub y bases de datos de inicio de sesión de navegadores de las máquinas de los desarrolladores. Los paquetes se ejecutan a través de mecanismos específicos del ecosistema, incluyendo los ganchos postinstall de npm, los activadores de importación de Python y los scripts build.rs de Rust.
Según Socket Security, el paquete más antiguo observado fue el módulo de PyPI [email protected], subido el viernes a las 20:20 UTC, con un wheel compilado publicado dos minutos después. Los paquetes fueron lanzados en rápida sucesión por múltiples cuentas y aparecieron en los registros en oleadas de despliegue muy agrupadas, según el informe.
Los paquetes npm de la campaña incluían herramientas como crypto-credential-scanner, defi-env-auditor y wallet-security-checker, mientras que los paquetes de Crates.io se centraban en herramientas de desarrollo de Sui y Move, incluyendo move-project-builder y sui-sdk-build-utils. Los paquetes PyPI incluían eth-security-auditor y defi-risk-scanner, diseñados para ejecutarse automáticamente durante los flujos de trabajo de desarrollo estándar.
Los investigadores de Socket afirmaron que los nombres de los paquetes fueron elaborados para parecerse a herramientas de desarrollo en flujos de trabajo de cripto, DeFi, IA y seguridad, apuntando a entornos donde las credenciales en la nube, las claves SSH y los datos de monederos pueden estar almacenados en las máquinas de los desarrolladores.
La firma describió la campaña como una operación de bajo volumen pero de alto impacto, con un número relativamente pequeño de paquetes distribuidos en múltiples registros, pero que apuntaba a entornos que contenían credenciales financieras y de autenticación de alto valor.
Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigación y datos. A partir de noviembre de 2023, Foresight Ventures es el inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del espacio cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block sigue operando de forma independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.
© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni se pretende que se utilice como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
