Kampanye Malware TrapDoor Mencuri Data Dompet Crypto Melalui Alat Pengembang Palsu

Malware TrapDoor telah muncul sebagai ancaman baru bagi pengembang crypto dan AI setelah peneliti mengungkap serangan rantai pasokan yang dirancang untuk mencuri data dompet, kunci API, kredensial cloud, dan akses SSH melalui paket pengembang yang terjangkit.
 Ringkasan
Socket menyatakan bahwa kampanye malware TrapDoor telah menyebar melalui lebih dari 34 paket pengembang jahat di npm, PyPI, dan ekosistem Rust.
Penyerang menargetkan pengembang crypto dan AI dengan mencuri data dompet, token GitHub, kredensial cloud, dan kunci SSH melalui alat perangkat lunak yang disamarkan.
Menurut laporan yang diterbitkan Minggu oleh platform keamanan developer Socket, kampanye yang disebut 'TrapDoor' pertama kali diidentifikasi pada hari Jumat dan sudah menyebar melalui setidaknya 34 paket berbahaya dan 384 versi terhubung di berbagai ekosistem perangkat lunak.
Socket bilang para penyerang fokus ke para developer yang kerja di cryptocurrency, keuangan terdesentralisasi, kecerdasan buatan, dan infrastruktur keamanan, di mana kredensial yang terekspos bisa memberi akses ke dompet, repositori, lingkungan cloud, dan sistem internal.
Di antara layanan yang menjadi target adalah dompet dan platform yang terhubung dengan Coinbase, Binance, MetaMask, Brave, bersama dengan ekosistem blockchain yang terkait dengan Solana, Sui, dan Aptos.
Ahmad Nassri, chief technology officer di Socket, bilang malware ini juga berusaha memanipulasi asisten pengkodean AI seperti Claude dan Cursor dengan menyuntikkan prompt tersembunyi ke dalam alur kerja pengembangan. Laporan Socket menyatakan bahwa para penyerang tampaknya mendorong alat AI untuk menjalankan 'pindai keamanan' palsu yang mengekspos rahasia dan mengirimkannya kembali ke operator.
Sebuah crypto stealer terkoordinasi menyerang 36 paket di @npmjs, @pypi, dan @cratesiostatus secara bersamaan. Mencuri dompet (@SuiNetwork, @solana, @Aptos, @coinbase, @binance, @brave, @MetaMask, dan lainnya), kunci SSH, kredensial AWS, token GitHub, dan data browser. Menyuntikkan tersembunyi… https://t.co/EGn9mwOISw
— Ahmad Nassri (@AhmadNassri) 24 Mei 2026
Repositori paket developer menjadi jalur serangan.
Di dalam kampanye, paket berbahaya disamarkan sebagai utilitas pengembangan umum, termasuk alat pengaturan proyek, perangkat lunak pemodelan routing, kerangka kerja Solidity, paket rekayasa prompt, dan pembantu build untuk aplikasi berbasis Sui dan Move, menurut Socket.
Kamu mungkin juga suka: SEC menunda pengecualian saham tokenisasi setelah bursa mengajukan kekhawatiran kepemilikan.
Paket yang terinfeksi ditemukan di npm, PyPI, dan ekosistem Crates Rust, memberi akses kepada penyerang ke komunitas pengembangan JavaScript, Python, AI, otomatisasi, dan blockchain secara bersamaan.
Socket bilang nama paket sengaja dirancang untuk mirip dengan perangkat lunak sah yang mungkin diinstal developer selama alur kerja normal tanpa menyadari perilaku mencurigakan.
Pada saat yang sama, perusahaan mengatakan repositori GitHub yang terkait dengan operasi menunjukkan tanda-tanda aktivitas pengembangan yang dibantu AI, termasuk repositori umpan yang dihasilkan dengan cepat, komponen malware yang sebagian selesai, dan dokumentasi penyuntikan prompt yang dibangun di sekitar tema keamanan.
Secara terpisah, GitHub mengungkapkan pada 20 Mei bahwa aktor tidak berwenang telah mengakses repositori internal setelah mengompromikan perangkat karyawan.
Vektor serangan terus berkembang.
Kampanye terbaru mengikuti pola serangan yang berkembang yang menargetkan developer crypto melalui alat kerja tepercaya dan saluran komunikasi profesional.
Bulan lalu, peneliti di Elastic Security Labs menjelaskan operasi terpisah yang menggunakan aplikasi catatan Obsidian untuk menginfeksi profesional cryptocurrency dan keuangan dengan malware yang dikenal sebagai PHANTOMPULSE.
Menurut Elastic, para penyerang mendekati korban melalui percakapan LinkedIn dan Telegram sebelum mengarahkan mereka ke brankas Obsidian bersama yang berisi plugin yang terinfeksi trojan.
Elastic bilang malware ini membangun struktur komando dan kontrol terdesentralisasi menggunakan data transaksi blockchain yang tersebar di tiga jaringan, memungkinkan operator untuk tetap mengakses tanpa bergantung pada server terpusat.
Awal bulan April, firma keamanan blockchain CertiK memperingatkan bahwa operator kelompok Lazarus yang terkait dengan Korea Utara telah menggunakan pertemuan Zoom palsu, akun Telegram yang diretas, dan taktik rekayasa sosial gaya ClickFix untuk menyampaikan malware 'Mach-O Man' kepada eksekutif crypto dan karyawan fintech di perangkat macOS.
Peneliti CertiK, Natalie Newson, menghubungkan aktivitas itu dengan eksploitasi DeFi baru-baru ini yang terkait dengan Drift dan KelpDAO, di mana penyerang diduga mencuri ratusan juta dolar melalui rekayasa sosial dan penyalahgunaan infrastruktur lintas rantai.
Peneliti keamanan semakin memperingatkan bahwa rantai pasokan perangkat lunak, aplikasi kolaborasi, alat pengembangan AI, dan repositori open-source menjadi titik masuk umum untuk intrusi yang fokus pada crypto karena developer sering menginstal paket dan plugin pihak ketiga dengan izin sistem yang tinggi.
Baca lebih lanjut: Brian Armstrong bilang keuangan harus bergerak on-chain atau tertinggal.