Кампания вредоносного ПО TrapDoor крадет данные крипто кошельков через фальшивые инструменты разработчиков

Вредоносное ПО TrapDoor стало новой угрозой для крипто и AI разработчиков после того, как исследователи обнаружили атаку на цепочку поставок, направленную на кражу данных кошельков, API ключей, учетных данных облака и доступа через SSH с помощью отравленных пакетов разработчиков.
 Итог
Сокет сообщил, что кампания вредоносного ПО TrapDoor распространилась через более чем 34 злонамеренных пакета разработчиков в экосистемах npm, PyPI и Rust.
Злоумышленники нацелились на крипто и AI разработчиков, похищая данные кошельков, токены GitHub, учетные данные облака и SSH ключи с помощью замаскированных программных инструментов.
Согласно отчету, опубликованному в воскресенье платформой безопасности разработчиков Socket, кампания под названием «TrapDoor» была впервые обнаружена в пятницу и уже распространилась как минимум через 34 вредоносных пакета и 384 связанных версии в нескольких программных экосистемах.
Сокет сообщил, что атакующие сосредоточились на разработчиках, работающих в области криптовалют, децентрализованных финансов, искусственного интеллекта и инфраструктуры безопасности, где утечка учетных данных может предоставить доступ к кошелькам, репозиториям, облачным средам и внутренним системам.
Среди целевых сервисов — кошельки и платформы, связанные с Coinbase, Binance, MetaMask, Brave, а также блокчейн-экосистемы, связанные с Solana, Sui и Aptos.
Ахмад Насри, технический директор Socket, сказал, что вредоносное ПО также пытается манипулировать помощниками по кодированию ИИ, такими как Claude и Cursor, внедряя скрытые подсказки в рабочие процессы разработки. Отчет Socket заявил, что атакующие, похоже, заставляют инструменты ИИ запускать поддельные «безопасные сканирования», которые раскрывают секреты и передают их обратно операторам.
Скоординированный крипто-вор, атаковавший 36 пакетов одновременно в @npmjs, @pypi и @cratesiostatus. Крадет кошельки (@SuiNetwork, @solana, @Aptos, @coinbase, @binance, @brave, @MetaMask и др.), SSH-ключи, AWS учетные данные, токены GitHub и данные браузера. Внедряет скрытые… https://t.co/EGn9mwOISw
— Ахмад Насри (@AhmadNassri) 24 мая 2026 г.
Репозитории пакетов разработчиков становятся маршрутом атак.
В рамках кампании вредоносные пакеты маскировались под обычные инструменты разработки, включая инструменты настройки проектов, программное обеспечение для маршрутизации моделей, фреймворки Solidity, пакеты для инжиниринга подсказок и помощники сборки для приложений на основе Sui и Move, согласно Socket.
Вам также может понравиться: SEC откладывает освобождение токенизированных акций после того, как биржи выразили опасения по поводу собственности.
Зараженные пакеты были обнаружены в npm, PyPI и экосистеме Crates Rust, предоставляя атакующим доступ к сообществам разработки на JavaScript, Python, ИИ, автоматизации и блокчейна одновременно.
Сокет сообщил, что названия пакетов были намеренно разработаны так, чтобы напоминать легитимное программное обеспечение, которое разработчики могут установить в ходе обычной работы, не замечая подозрительного поведения.
В то же время компания сообщила, что репозитории GitHub, связанные с этой операцией, показывали признаки активности, связанной с разработкой ИИ, включая быстро сгенерированные приманочные репозитории, частично завершенные компоненты вредоносного ПО и документацию по внедрению подсказок, основанную на темах безопасности.
Отдельно GitHub сообщил 20 мая, что несанкционированные лица получили доступ к внутренним репозиториям после компрометации устройства сотрудника.
Атакующие векторы продолжают эволюционировать.
Последняя кампания следует за растущей тенденцией атак на крипто-разработчиков через доверенные инструменты на рабочем месте и профессиональные каналы связи.
В прошлом месяце исследователи из Elastic Security Labs подробно описали отдельную операцию, которая использовала приложение для заметок Obsidian для заражения профессионалов в области криптовалют и финансов вредоносным ПО, известным как PHANTOMPULSE.
Согласно Elastic, атакующие подходили к жертвам через разговоры в LinkedIn и Telegram, прежде чем направить их к общим хранилищам Obsidian с тропированными плагинами.
Elastic сообщил, что вредоносное ПО установило децентрализованную структуру командования и управления, используя данные о транзакциях блокчейна, распространенные по трем сетям, позволяя операторам поддерживать доступ без зависимости от централизованных серверов.
Ранее в апреле блокчейн-безопасная компания CertiK предупредила, что операторы группы Lazarus, связанной с Северной Кореей, использовали поддельные Zoom-встречи, скомпрометированные аккаунты Telegram и тактики социального инжиниринга в стиле ClickFix для доставки вредоносного ПО «Mach-O Man» к крипто-исполнительным и финтех-сотрудникам на устройствах macOS.
Исследователь CertiK Натали Нюсон связала эту активность с недавними эксплойтами DeFi, связанными с Drift и KelpDAO, где атакующие якобы украли сотни миллионов долларов через социальный инжиниринг и злоупотребление кросс-цепной инфраструктурой.
Исследователи безопасности все чаще предупреждают, что цепочки поставок программного обеспечения, приложения для совместной работы, инструменты разработки ИИ и репозитории с открытым исходным кодом становятся общими точками входа для вторжений, связанных с криптовалютой, поскольку разработчики регулярно устанавливают сторонние пакеты и плагины с повышенными системными правами.
Читать далее: Брайан Армстронг говорит, что финансы должны перейти на блокчейн или отстать.