Onderzoekers van Socket Security hebben meer dan 34 kwaadaardige pakketten geïdentificeerd in drie register voor programmeertalen, gericht op crypto-ontwikkelaarsomgevingen, waaronder de ecosystemen Aptos, Sui en Solana.
De campagne, genaamd TrapDoor, omvat npm, PyPI en Crates.io met in totaal meer dan 384 versies. Kwaadaardige pakketten die werden geïdentificeerd, omvatten sui-framework-helpers, sui-move-build-helper en move-analyzer-build op Crates.io, naast meerdere npm- en PyPI-pakketten, aldus de onderzoekers van Socket in een verklaring op zondag.
De onderzoekers zeiden dat de malware is ontworpen om SSH-sleutels, wallet keystores, AWS-referenties, GitHub-tokens en browserlogin-databases te stelen van ontwikkelaarsmachines. De pakketten worden uitgevoerd via ecosysteem-specifieke mechanismen, waaronder npm postinstall hooks, Python import triggers en Rust build.rs scripts.
Volgens Socket Security was het vroegst waargenomen pakket de PyPI-module [email protected], geüpload op vrijdag om 20:20 UTC, met een gecompileerde wheel die twee minuten later werd gepubliceerd. De pakketten werden snel achter elkaar vrijgegeven door meerdere accounts en verschenen in registers in strak geclusterde implementatiegolven, aldus het rapport.
De npm-pakketten in de campagne omvatten tools zoals crypto-credential-scanner, defi-env-auditor en wallet-security-checker, terwijl Crates.io-pakketten gericht waren op Sui en Move ontwikkeltools, waaronder move-project-builder en sui-sdk-build-utils. PyPI-pakketten omvatten eth-security-auditor en defi-risk-scanner, ontworpen om automatisch uit te voeren tijdens standaard ontwikkelworkflows.
Onderzoekers van Socket zeiden dat de pakketnamen waren ontworpen om te lijken op ontwikkeltools voor crypto, DeFi, AI en beveiligingsworkflows, gericht op omgevingen waar cloudreferenties, SSH-sleutels en wallet-gegevens op ontwikkelaarsmachines kunnen zijn opgeslagen.
Het bedrijf omschreef de campagne als een operatie met een laag volume maar hoge impact, met een relatief klein aantal pakketten verspreid over meerdere registers, maar gericht op omgevingen die waardevolle authenticatie- en financiële gegevens bevatten.
Disclaimer: The Block is een onafhankelijke media-uitlaatklep die nieuws, onderzoek en data levert. Vanaf november 2023 is Foresight Ventures een meerderheidsinvesteerder van The Block. Foresight Ventures investeert in andere bedrijven in de crypto-ruimte. Crypto-exchange Bitget is een anker-LP voor Foresight Ventures. The Block blijft onafhankelijk opereren om objectieve, impactvolle en tijdige informatie over de crypto-industrie te leveren. Hier zijn onze huidige financiële openbaarmakingen.
© 2026 The Block. Alle rechten voorbehouden. Dit artikel wordt uitsluitend ter informatie aangeboden. Het is niet bedoeld of bestemd om te worden gebruikt als juridisch, fiscaal, beleggings-, financieel of ander advies.
