Badacze z Socket Security zidentyfikowali ponad 34 złośliwe pakiety w trzech rejestrach języków programowania, które celowały w środowiska deweloperskie kryptowalut, w tym ekosystemy Aptos, Sui i Solana.
Kampania, nazwana TrapDoor, obejmuje npm, PyPI i Crates.io, z ponad 384 łącznymi wersjami. Zidentyfikowane złośliwe pakiety to sui-framework-helpers, sui-move-build-helper i move-analyzer-build na Crates.io, a także liczne pakiety npm i PyPI, jak poinformowali badacze z Socket w niedzielnym oświadczeniu.
Badacze stwierdzili, że złośliwe oprogramowanie ma na celu kradzież kluczy SSH, magazynów kluczy portfeli, danych uwierzytelniających AWS, tokenów GitHub i baz danych logowania przeglądarek z komputerów deweloperów. Pakiety są wykonywane za pomocą mechanizmów specyficznych dla ekosystemu, w tym hooków postinstall npm, wyzwalaczy importu Pythona i skryptów build.rs w Rust.
Według Socket Security, najwcześniej zaobserwowanym pakietem był moduł PyPI [email protected], przesłany w piątek o 20:20 UTC, z opublikowanym skompilowanym pakietem (wheel) dwie minuty później. Pakiety były wydawane w szybkim tempie przez wiele kont i pojawiały się w rejestrach w ściśle skupionych falach wdrożeniowych, jak podano w raporcie.
Pakiety npm w kampanii obejmowały narzędzia takie jak crypto-credential-scanner, defi-env-auditor i wallet-security-checker, podczas gdy pakiety Crates.io skupiały się na narzędziach deweloperskich Sui i Move, w tym move-project-builder i sui-sdk-build-utils. Pakiety PyPI zawierały eth-security-auditor i defi-risk-scanner, zaprojektowane do automatycznego wykonywania podczas standardowych przepływów pracy deweloperskiej.
Badacze z Socket stwierdzili, że nazwy pakietów zostały tak skonstruowane, aby przypominały narzędzia deweloperskie w obszarze kryptowalut, DeFi, AI i bezpieczeństwa, celując w środowiska, w których dane uwierzytelniające w chmurze, klucze SSH i dane portfeli mogą być przechowywane na maszynach deweloperów.
Firma opisała kampanię jako operację o niskiej skali, ale o dużym wpływie, z relatywnie niewielką liczbą pakietów rozprowadzonych w wielu rejestrach, ale celującą w środowiska zawierające cenne dane uwierzytelniające i finansowe.
Zastrzeżenie: The Block jest niezależnym medium, które dostarcza wiadomości, badania i dane. Od listopada 2023 r. Foresight Ventures jest większościowym inwestorem The Block. Foresight Ventures inwestuje w inne firmy z branży krypto. Giełda kryptowalut Bitget jest głównym inwestorem (anchor LP) dla Foresight Ventures. The Block nadal działa niezależnie, aby dostarczać obiektywne, wpływowe i aktualne informacje o branży krypto. Oto nasze aktualne oświadczenia finansowe.
© 2026 The Block. Wszelkie prawa zastrzeżone. Niniejszy artykuł ma wyłącznie charakter informacyjny. Nie stanowi ani nie jest przeznaczony do wykorzystania jako porada prawna, podatkowa, inwestycyjna, finansowa ani żadna inna.
