Pesquisadores da Socket Security identificaram mais de 34 pacotes maliciosos em três registros de linguagens de programação, visando ambientes de desenvolvimento de cripto, incluindo os ecossistemas Aptos, Sui e Solana.
Apelidada de TrapDoor, a campanha abrange npm, PyPI e Crates.io com mais de 384 versões no total. Pacotes maliciosos identificados incluem sui-framework-helpers, sui-move-build-helper e move-analyzer-build no Crates.io, juntamente com múltiplos pacotes npm e PyPI, afirmaram os pesquisadores da Socket em um comunicado no domingo.
Os pesquisadores disseram que o malware foi projetado para roubar chaves SSH, armazenamento de chaves de carteiras (wallet keystores), credenciais AWS, tokens GitHub e bancos de dados de login de navegadores de máquinas de desenvolvedores. Os pacotes são executados através de mecanismos específicos de cada ecossistema, incluindo hooks de pós-instalação do npm, gatilhos de importação do Python e scripts build.rs do Rust.
De acordo com a Socket Security, o pacote mais antigo observado foi o módulo PyPI [email protected], enviado na sexta-feira às 20:20 UTC, com um wheel compilado publicado dois minutos depois. Os pacotes foram lançados em rápida sucessão por várias contas e apareceram em vários registros em ondas de implantação bem agrupadas, segundo o relatório.
Os pacotes npm na campanha incluíam ferramentas como crypto-credential-scanner, defi-env-auditor e wallet-security-checker, enquanto os pacotes Crates.io focavam em ferramentas de desenvolvimento Sui e Move, incluindo move-project-builder e sui-sdk-build-utils. Os pacotes PyPI incluíam eth-security-auditor e defi-risk-scanner, projetados para serem executados automaticamente durante fluxos de trabalho de desenvolvimento padrão.
Os pesquisadores da Socket disseram que os nomes dos pacotes foram criados para se assemelhar a ferramentas de desenvolvimento em fluxos de trabalho de cripto, DeFi, IA e segurança, visando ambientes onde credenciais de nuvem, chaves SSH e dados de carteira podem ser armazenados nas máquinas dos desenvolvedores.
A empresa descreveu a campanha como uma operação de baixo volume, mas de alto impacto, com um número relativamente pequeno de pacotes distribuídos por vários registros, mas visando ambientes que contêm credenciais de autenticação e financeiras de alto valor.
Aviso Legal: O Block é um veículo de mídia independente que entrega notícias, pesquisas e dados. A partir de novembro de 2023, a Foresight Ventures é uma investidora majoritária do The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é uma LP âncora para a Foresight Ventures. O Block continua a operar independentemente para fornecer informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.
© 2026 The Block. Todos os Direitos Reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou destinado a ser usado como aconselhamento jurídico, fiscal, de investimento, financeiro ou outro.
