Cercetătorii de la Socket Security au identificat peste 34 de pachete malițioase în trei registre de limbaje de programare care vizau mediile de dezvoltare cripto, inclusiv ecosistemele Aptos, Sui și Solana.
Numită TrapDoor, campania se extinde pe npm, PyPI și Crates.io cu peste 384 de versiuni în total. Pachetele malițioase identificate includ sui-framework-helpers, sui-move-build-helper și move-analyzer-build pe Crates.io, alături de multiple pachete npm și PyPI, au declarat duminică cercetătorii de la Socket.
Cercetătorii au spus că malware-ul este conceput pentru a fura cheile SSH, fișierele cheie de portofel (wallet keystores), credențialele AWS, token-urile GitHub și bazele de date de autentificare din browser de pe mașinile dezvoltatorilor. Pachetele se execută prin mecanisme specifice ecosistemului, inclusiv cârligele postinstall npm, declanșatoarele de import Python și scripturile Rust build.rs.
Potrivit Socket Security, cel mai vechi pachet observat a fost modulul PyPI [email protected], încărcat vineri la 20:20 UTC, cu o versiune compilată (compiled wheel) publicată două minute mai târziu. Pachetele au fost lansate în succesiune rapidă de către mai multe conturi și au apărut în toate registrele în valuri de implementare strâns grupate, conform raportului.
Pachetele npm din campanie au inclus instrumente precum crypto-credential-scanner, defi-env-auditor și wallet-security-checker, în timp ce pachetele Crates.io s-au concentrat pe instrumente de dezvoltare Sui și Move, inclusiv move-project-builder și sui-sdk-build-utils. Pachetele PyPI au inclus eth-security-auditor și defi-risk-scanner, concepute pentru a se executa automat în timpul fluxurilor de lucru standard de dezvoltare.
Cercetătorii de la Socket au spus că numele pachetelor au fost create pentru a semăna cu instrumente de dezvoltare din domeniile cripto, DeFi, AI și securitate, vizând mediile în care credențialele cloud, cheile SSH și datele de portofel pot fi stocate pe mașinile dezvoltatorilor.
Firma a descris campania ca fiind o operațiune cu volum redus, dar cu impact mare, cu un număr relativ mic de pachete distribuite în mai multe registre, dar care vizează medii ce conțin credențiale de autentificare și financiare de mare valoare.
Disclaimer: The Block este o publicație media independentă care oferă știri, cercetări și date. Începând cu noiembrie 2023, Foresight Ventures este investitorul majoritar al The Block. Foresight Ventures investește în alte companii din spațiul cripto. Exchange-ul cripto Bitget este un LP (limited partner) ancoră pentru Foresight Ventures. The Block continuă să opereze independent pentru a oferi informații obiective, relevante și în timp util despre industria cripto. Iată declarațiile noastre financiare actuale.
© 2026 The Block. Toate drepturile rezervate. Acest articol este oferit doar în scop informativ. Nu este oferit sau intenționat a fi utilizat ca sfat juridic, fiscal, de investiții, financiar sau de altă natură.
