El malware 'TrapDoor' apunta a herramientas de desarrollo cripto en un ataque a la cadena de suministro

Un activo ataque a la cadena de suministro se está dirigiendo a desarrolladores de criptomonedas y de inteligencia artificial con el objetivo de robar criptomonedas, datos o credenciales, según la plataforma de desarrollo Socket.

Socket dijo en un informe el domingo que descubrió la campaña de malware, que denominó “TrapDoor,” el viernes, y la campaña ha desplegado más de 34 paquetes maliciosos y 384 versiones relacionadas, con atacantes empujando repetidamente nuevas versiones a través de ecosistemas.

TrapDoor apunta a desarrolladores de criptomonedas, finanzas descentralizadas, inteligencia artificial y seguridad, robando datos de billetera, Secure Shell o claves SSH, credenciales de nube, tokens de GitHub, datos de extensión de navegador y claves de API, según Socket.

El malware también apunta a billeteras de criptomonedas populares, incluyendo Coinbase, Binance, Solana, Sui, Aptos y MetaMask, además del navegador Brave, dijo el director de tecnología de Socket, Ahmad Nassri dijo el domingo.

Nassri dijo que el malware inyecta instrucciones ocultas para “secuestrar tu asistente de codificación de inteligencia artificial,” apuntando a Claude y Cursor. “El objetivo parece ser engañar a los asistentes de inteligencia artificial para que ejecuten un ‘análisis de seguridad’ o flujo de trabajo similar que cause descubrimiento y exfiltración de secretos,” dijo Socket.

Fuente: Socket

Los desarrolladores de criptomonedas y de inteligencia artificial se han convertido en objetivos cada vez más frecuentes a medida que actores maliciosos han estado cargando paquetes envenenados en “tiendas de aplicaciones” para desarrolladores, sabiendo que los instalarán como parte de su flujo de trabajo normal, a menudo sin verificar.

TrapDoor apunta específicamente a recursos de desarrolladores populares como npm (administrador de paquetes de Node.js), la tienda de paquetes para desarrolladores de JavaScript/Node.js, el lenguaje detrás de la mayoría de los sitios web y aplicaciones web.

También se encontró en PyPI, el equivalente para desarrolladores de Python, que se utiliza ampliamente en ciencia de datos, inteligencia artificial y automatización, y Crates, lo mismo para desarrolladores de Rust.

Los nombres de paquetes maliciosos están diseñados para parecerse a “ayudas de desarrollo, herramientas de configuración de proyectos, utilidades de enrutamiento de modelos, paquetes de ingeniería de indicaciones, herramientas de Solidity y ayudas de compilación de Sui o Move,” dijo Socket.

“Esto da a la campaña un amplio alcance a través de comunidades de desarrolladores adyacentes donde es probable que estén presentes billeteras de criptomonedas, credenciales de nube, tokens de GitHub y claves SSH,” agregó.

La plataforma de desarrollo GitHub se ha utilizado para difundir los paquetes maliciosos, dijo Socket, agregando que el ataque parecía estar asistido por inteligencia artificial.

“La actividad de GitHub muestra signos de iteración rápida al estilo de asistencia de inteligencia artificial: andamiaje de seguridad temático amplio, repositorios de cebo genéricos, documentación de inyección de indicaciones y conceptos de extracción parcialmente implementados mezclados con componentes de malware en funcionamiento.”

El propio GitHub fue comprometido el 20 de mayo cuando informó de acceso no autorizado a sus repositorios internos después del compromiso del dispositivo de un empleado.