Malware 'TrapDoor' vizează instrumente de dezvoltare cripto printr-un atac asupra lanțului de aprovizionare
Ultimele știri Publicat pe 25 mai 2026
Socket afirmă că o campanie de pachete malițioase are ca scop furtul de cripto și injectează instrucțiuni ascunse care deturnează asistenții de codare AI populari.
Un atac activ asupra lanțului de aprovizionare vizează dezvoltatorii de cripto și inteligență artificială într-o încercare de a fura cripto, date sau acreditări, afirmă platforma de dezvoltare Socket.
Socket a declarat într-un raport duminică că a descoperit campania malware, pe care a numit-o "TrapDoor", vineri, iar campania a implementat peste 34 de pachete malițioase și 384 de versiuni conexe, atacatorii lansând în mod repetat versiuni noi în diverse ecosisteme.
TrapDoor vizează dezvoltatorii de cripto, finanțe descentralizate, AI și securitate, furând date din portofele, Secure Shell sau chei SSH, acreditări cloud, token-uri GitHub, date din extensiile de browser și chei API, a spus Socket.
Malware-ul vizează, de asemenea, portofele cripto populare, inclusiv Coinbase, Binance, Solana, Sui, Aptos și MetaMask, pe lângă browserul de internet Brave, a declarat duminică directorul tehnic al Socket, Ahmad Nassri.
Nassri a spus că malware-ul injectează instrucțiuni ascunse pentru a "deturna asistentul dvs. de codare AI", vizând Claude și Cursor.
"Scopul pare a fi acela de a păcăli asistenții AI să ruleze o 'scanare de securitate' sau un flux de lucru similar, care cauzează descoperirea și exfiltrarea secretă", a spus Socket.
Sursa: Socket
Dezvoltatorii cripto și AI au devenit din ce în ce mai mult ținte, deoarece actorii rău intenționați au încărcat pachete otrăvite în "magazinele de aplicații" pentru dezvoltatori, știind că le vor instala ca parte a fluxului lor normal de lucru, adesea fără a verifica.
TrapDoor vizează în mod specific resurse populare pentru dezvoltatori, cum ar fi npm (node package manager), magazinul de pachete pentru dezvoltatorii JavaScript/Node.js, limbajul din spatele majorității site-urilor web și aplicațiilor web. A fost găsit și în PyPI, echivalentul pentru dezvoltatorii Python, care este utilizat pe scară largă în știința datelor, AI și automatizare, și Crates, același lucru pentru dezvoltatorii Rust.
Articol similar: GitHub investighează accesul neautorizat la depozitele interne
Numele pachetelor malițioase sunt concepute pentru a arăta ca "instrumente de ajutor pentru dezvoltare, instrumente de configurare a proiectului, utilități de rutare a modelelor, pachete de inginerie prompt, instrumente Solidity și ajutoare de construire Sui sau Move", a spus Socket.
"Acest lucru oferă campaniei o acoperire largă în comunitățile de dezvoltatori adiacente, unde este probabil să fie prezente portofele cripto, acreditări cloud, token-uri GitHub și chei SSH", a adăugat acesta.
Platforma de dezvoltare GitHub a fost folosită pentru a disemina pachetele malițioase, a spus Socket, adăugând că atacul părea să fie asistat de AI.
"Activitatea GitHub prezintă semne de iterație rapidă, în stil asistat de AI: schele largi cu tematică de securitate, depozite generice de momeală, documentație de injecție promptă și concepte de extracție parțial implementate, amestecate cu componente malware funcționale."
GitHub în sine a fost compromis pe 20 mai, când a raportat accesul neautorizat la depozitele sale interne în urma compromiterii dispozitivului unui angajat.