O malware TrapDoor surgiu como uma nova ameaça para desenvolvedores de cripto e IA após pesquisadores descobrirem um ataque à cadeia de suprimentos projetado para roubar dados de carteira, chaves de API, credenciais de nuvem e acesso SSH através de pacotes de desenvolvedor envenenados.
Resumo
O Socket informou que a campanha de malware TrapDoor se espalhou por mais de 34 pacotes de desenvolvedor maliciosos nos ecossistemas npm, PyPI e Rust.
Os atacantes miraram desenvolvedores de cripto e IA, roubando dados de carteira, tokens do GitHub, credenciais de nuvem e chaves SSH através de ferramentas de software disfarçadas.
De acordo com um relatório publicado no domingo pela plataforma de segurança para desenvolvedores Socket, a campanha, chamada de “TrapDoor”, foi identificada pela primeira vez na sexta-feira e já se espalhou por pelo menos 34 pacotes maliciosos e 384 versões conectadas em vários ecossistemas de software.
O Socket disse que os atacantes se concentraram em desenvolvedores que trabalham em criptomoedas, finanças descentralizadas, inteligência artificial e infraestrutura de segurança, onde credenciais expostas podem fornecer acesso a wallets, repositórios, ambientes de nuvem e sistemas internos.
Entre os serviços-alvo estão wallets e plataformas vinculadas ao Coinbase, Binance, MetaMask, Brave, junto com ecossistemas blockchain ligados a Solana, Sui e Aptos.
Ahmad Nassri, diretor de tecnologia do Socket, disse que o malware também tenta manipular assistentes de codificação de IA, como Claude e Cursor, injetando prompts ocultos nos fluxos de trabalho de desenvolvimento. O relatório do Socket afirmou que os atacantes parecem estar forçando ferramentas de IA a realizarem falsos “scans de segurança” que expõem segredos e os transmitem de volta aos operadores.
Um ladrão de cripto coordenado atingindo 36 pacotes em @npmjs, @pypi e @cratesiostatus simultaneamente. Rouba wallets (@SuiNetwork, @solana, @Aptos, @coinbase, @binance, @brave, @MetaMask, e mais), chaves SSH, credenciais da AWS, tokens do GitHub e dados do navegador. Injeta ocultamente… https://t.co/EGn9mwOISw
— Ahmad Nassri (@AhmadNassri) 24 de maio de 2026
Repositórios de pacotes de desenvolvedores tornam-se rota de ataque.
Dentro da campanha, pacotes maliciosos foram disfarçados como utilitários comuns de desenvolvimento, incluindo ferramentas de configuração de projetos, software de roteamento de modelos, frameworks Solidity, pacotes de engenharia de prompts e auxiliares de construção para aplicações baseadas em Sui e Move, de acordo com o Socket.
Você também pode gostar: SEC adia isenção de ações tokenizadas após preocupações de propriedade levantadas por bolsas.
Os pacotes infectados foram descobertos em npm, PyPI e no ecossistema Crates do Rust, dando aos atacantes acesso às comunidades de desenvolvimento em JavaScript, Python, IA, automação e blockchain ao mesmo tempo.
O Socket disse que os nomes dos pacotes foram intencionalmente projetados para se assemelhar a softwares legítimos que os desenvolvedores poderiam instalar durante fluxos de trabalho normais sem notar comportamentos suspeitos.
Ao mesmo tempo, a empresa disse que os repositórios do GitHub vinculados à operação mostraram sinais de atividade de desenvolvimento assistida por IA, incluindo repositórios de isca gerados rapidamente, componentes de malware parcialmente concluídos e documentação de injeção de prompts construída em torno de temas de segurança.
Separadamente, o GitHub divulgou em 20 de maio que atores não autorizados acessaram repositórios internos após comprometer o dispositivo de um funcionário.
Os vetores de ataque continuam a evoluir.
A última campanha segue um padrão crescente de ataques direcionados a desenvolvedores cripto através de ferramentas de trabalho confiáveis e canais de comunicação profissional.
No mês passado, pesquisadores do Elastic Security Labs detalharam uma operação separada que usou o aplicativo de anotações Obsidian para infectar profissionais de criptomoedas e finanças com um malware conhecido como PHANTOMPULSE.
De acordo com a Elastic, os atacantes abordaram as vítimas através de conversas no LinkedIn e Telegram antes de direcioná-las para cofres compartilhados do Obsidian contendo plugins troianos.
A Elastic disse que o malware estabeleceu uma estrutura descentralizada de comando e controle usando dados de transações blockchain espalhados por três redes, permitindo que os operadores mantenham acesso sem depender de servidores centralizados.
No início de abril, a empresa de segurança blockchain CertiK avisou que operadores do Grupo Lazarus, ligado à Coreia do Norte, usaram reuniões falsas do Zoom, contas do Telegram comprometidas e táticas de engenharia social no estilo ClickFix para entregar o malware “Mach-O Man” a executivos cripto e funcionários de fintech em dispositivos macOS.
A pesquisadora da CertiK, Natalie Newson, conectou essa atividade a recentes exploits de DeFi ligados ao Drift e KelpDAO, onde os atacantes alegadamente roubaram centenas de milhões de dólares através de engenharia social e abuso de infraestrutura cross-chain.
Pesquisadores de segurança alertaram cada vez mais que as cadeias de suprimento de software, aplicativos de colaboração, ferramentas de desenvolvimento de IA e repositórios de código aberto estão se tornando pontos de entrada comuns para intrusões focadas em cripto, pois os desenvolvedores costumam instalar pacotes e plugins de terceiros com permissões elevadas.
Leia mais: Brian Armstrong diz que as finanças devem avançar para on-chain ou ficar para trás.