- Campanha TrapDoor mira desenvolvedores de criptomoedas, visando pacotes maliciosos publicados em registries usados por JavaScript, Python e Rust.
- Foram encontrados mais de 34 pacotes, somando mais de 384 versões, distribuídos em npm, PyPI e Crates.io, com nomes como sui-framework-helpers e wallet-security-checker.
- Os atacantes criaram nomes parecidos com ferramentas legítimas para atrair desenvolvedores, atingindo fluxos de auditoria, Move, análise de carteiras e verificação de credenciais.
- O malware executa código automaticamente ao ser instalado ou importado, via ganchos de pós-instalação no npm, gatilhos de importação no Python e scripts build.rs no Rust.
- Objetivo é coletar chaves SSH, keystores de carteiras, credenciais da AWS, tokens do GitHub e dados de login em navegadores, para uso ou venda.
O TrapDoor é uma campanha de malware identificada por pesquisadores da Socket Security, voltada a desenvolvedores de criptomoedas. A operação, que afeta ambientes vinculados a Aptos, Sui e Solana, busca roubar credenciais sensíveis, chaves e dados de carteiras durante o desenvolvimento.
Mais de 34 pacotes maliciosos foram encontrados, somando mais de 384 versões, distribuídos em npm, PyPI e Crates.io. Entre os nomes identificados estão sui-framework-helpers, sui-move-build-helper e crypto-credential-scanner, entre outros. Os invasores criaram pacotes que imitavam ferramentas comuns em fluxos de trabalho cripto.
A tática envolve fazer os pacotes simularem utilitários legítimos usados em auditoria, segurança, move e análise de carteiras. Ao serem instalados ou importados, os pacotes executam código automaticamente: no npm, por hooks de pós-instalação; no Python, por gatilhos de importação; no Rust, por scripts build.rs. Assim, o malware atua sem alertar o usuário.
O objetivo do TrapDoor é coletar dados de alto valor, como chaves SSH, keystores de carteiras, credenciais da AWS, tokens do GitHub e informações de login armazenadas em navegadores. Em ambientes cripto, esse tipo de dados facilita o acesso a recursos financeiros, repositórios privados e infraestrutura em nuvem.
Segundo a Socket, o primeiro pacote observado foi eth-security-auditor, publicado no PyPI na sexta-feira às 20h20 UTC, com uma versão compilada disponível dois minutos depois. Em seguida, novas publicações ocorreram em ondas concentradas entre os registries.
Apesar do número limitado de pacotes, a campanha é classificada como de baixo volume, mas alto impacto. O alvo principal são ambientes de desenvolvimento com credenciais de alto valor financeiro, não usuários comuns.
O caso evidencia um risco crescente para o setor cripto: ataques não apenas a usuários, mas aos desenvolvedores que constroem aplicações, carteiras e infraestrutura. Comprometer uma máquina de desenvolvimento pode abrir caminho para roubo de chaves, tokens e acesso a serviços críticos.
Para mitigar, especialistas recomendam: verificar a origem de bibliotecas pouco conhecidas, revisar scripts de instalação e build, usar ambientes isolados para testes e manter credenciais em locais protegidos. Em projetos cripto, a segurança da cadeia de dependências tornou-se essencial para a proteção de ativos digitais.
Entre na conversa da comunidade