{"id":777190,"date":"2026-05-25T05:49:11","date_gmt":"2026-05-25T08:49:11","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/25\/malware-mira-desenvolvedores-de-criptomoedas-atingindo-solana-aptos-e-sui\/"},"modified":"2026-05-25T05:49:11","modified_gmt":"2026-05-25T08:49:11","slug":"malware-mira-desenvolvedores-de-criptomoedas-atingindo-solana-aptos-e-sui","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/geral\/2026\/05\/25\/malware-mira-desenvolvedores-de-criptomoedas-atingindo-solana-aptos-e-sui\/","title":{"rendered":"Malware mira desenvolvedores de criptomoedas, atingindo Solana, Aptos e Sui"},"content":{"rendered":"<p>O TrapDoor \u00e9 uma campanha de malware identificada por pesquisadores da Socket Security, voltada a desenvolvedores de criptomoedas. A opera\u00e7\u00e3o, que afeta ambientes vinculados a Aptos, Sui e Solana, busca roubar credenciais sens\u00edveis, chaves e dados de carteiras durante o desenvolvimento.<\/p>\n<p>Mais de 34 pacotes maliciosos foram encontrados, somando mais de 384 vers\u00f5es, distribu\u00eddos em npm, PyPI e Crates.io. Entre os nomes identificados est\u00e3o sui-framework-helpers, sui-move-build-helper e crypto-credential-scanner, entre outros. Os invasores criaram pacotes que imitavam ferramentas comuns em fluxos de trabalho cripto.<\/p>\n<p>A t\u00e1tica envolve fazer os pacotes simularem utilit\u00e1rios leg\u00edtimos usados em auditoria, seguran\u00e7a, move e an\u00e1lise de carteiras. Ao serem instalados ou importados, os pacotes executam c\u00f3digo automaticamente: no npm, por hooks de p\u00f3s-instala\u00e7\u00e3o; no Python, por gatilhos de importa\u00e7\u00e3o; no Rust, por scripts build.rs. Assim, o malware atua sem alertar o usu\u00e1rio.<\/p>\n<p>O objetivo do TrapDoor \u00e9 coletar dados de alto valor, como chaves SSH, keystores de carteiras, credenciais da AWS, tokens do GitHub e informa\u00e7\u00f5es de login armazenadas em navegadores. Em ambientes cripto, esse tipo de dados facilita o acesso a recursos financeiros, reposit\u00f3rios privados e infraestrutura em nuvem.<\/p>\n<p>Segundo a Socket, o primeiro pacote observado foi eth-security-auditor, publicado no PyPI na sexta-feira \u00e0s 20h20 UTC, com uma vers\u00e3o compilada dispon\u00edvel dois minutos depois. Em seguida, novas publica\u00e7\u00f5es ocorreram em ondas concentradas entre os registries.<\/p>\n<p>Apesar do n\u00famero limitado de pacotes, a campanha \u00e9 classificada como de baixo volume, mas alto impacto. O alvo principal s\u00e3o ambientes de desenvolvimento com credenciais de alto valor financeiro, n\u00e3o usu\u00e1rios comuns.<\/p>\n<p>O caso evidencia um risco crescente para o setor cripto: ataques n\u00e3o apenas a usu\u00e1rios, mas aos desenvolvedores que constroem aplica\u00e7\u00f5es, carteiras e infraestrutura. Comprometer uma m\u00e1quina de desenvolvimento pode abrir caminho para roubo de chaves, tokens e acesso a servi\u00e7os cr\u00edticos.<\/p>\n<p>Para mitigar, especialistas recomendam: verificar a origem de bibliotecas pouco conhecidas, revisar scripts de instala\u00e7\u00e3o e build, usar ambientes isolados para testes e manter credenciais em locais protegidos. Em projetos cripto, a seguran\u00e7a da cadeia de depend\u00eancias tornou-se essencial para a prote\u00e7\u00e3o de ativos digitais.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Campanha TrapDoor mira desenvolvedores de criptomoedas, visando pacotes maliciosos publicados em registries usados por JavaScript, Python e Rust.<\/li>\n<li>Foram encontrados mais de 34 pacotes, somando mais de 384 vers\u00f5es, distribu\u00eddos em npm, PyPI e Crates.io, com nomes como sui-framework-helpers e wallet-security-checker.<\/li>\n<li>Os atacantes criaram nomes parecidos com ferramentas leg\u00edtimas para atrair desenvolvedores, atingindo fluxos de auditoria, Move, an\u00e1lise de carteiras e verifica\u00e7\u00e3o de credenciais.<\/li>\n<li>O malware executa c\u00f3digo automaticamente ao ser instalado ou importado, via ganchos de p\u00f3s-instala\u00e7\u00e3o no npm, gatilhos de importa\u00e7\u00e3o no Python e scripts build.rs no Rust.<\/li>\n<li>Objetivo \u00e9 coletar chaves SSH, keystores de carteiras, credenciais da AWS, tokens do GitHub e dados de login em navegadores, para uso ou venda.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":777269,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"TrapDoor mira desenvolvedores de cripto, visando chaves SSH, credenciais de nuvem e tokens em projetos Solana, Aptos e Sui","footnotes":""},"categories":[298,1],"tags":[84,104,85,269,101,189],"class_list":["post-777190","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral","category-noticias","tag-acontecimentos-internacionais","tag-apps","tag-inovacao","tag-internacionais","tag-pessoas","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/777190","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=777190"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/777190\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/777269"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=777190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=777190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=777190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}