Investigadores de Soclet descubrieron un ataque a la cadena de suministro denominado Trapdoor dirigido a desarrolladores de criptomonedas esta semana. El malware se propaga a través de paquetes comprometidos en los repositorios npm, PyPI y Crates.io para robar claves de billeteras de criptomonedas y secretos de desarrolladores. A diferencia de las estafas típicas de criptomonedas, evita específicamente a los usuarios comunes.
Cómo se propaga Trapdoor
Los atacantes insertaron código malicioso en bibliotecas de software aparentemente legítimas. Los desarrolladores que instalaron estos paquetes envenenados sin verificación activaron el malware automáticamente. Sucedió a través de gestores de paquetes confiables que los desarrolladores usan a diario.
Qué se roba
El malware Trapdoor captura claves de billeteras de criptomonedas y credenciales de desarrollo confidenciales. Eso significa que las billeteras de tesorería de proyectos y los tokens de seguridad internos podrían verse comprometidos. Los desarrolladores podrían no darse cuenta de que sus sistemas están transmitiendo secretos hasta que los fondos desaparecen.
Por qué los desarrolladores están en la mira
Robar a un solo desarrollador puede rendir más que atacar a usuarios finales. Una billetera comprometida puede contener fondos del proyecto o conceder acceso a bases de código completas. Esto no es un robo aleatorio, es quirúrgico. Los atacantes saben dónde está el verdadero valor.
Acciones inmediatas en curso
Soclet está trabajando con los mantenedores de repositorios para eliminar los paquetes maliciosos. Los desarrolladores deben auditar sus dependencias ahora. Aún no hay un parche porque Trapdoor se oculta en actualizaciones de código legítimas. Las próximas 48 horas pondrán a prueba la rapidez con que los equipos pueden limpiar sus canales de integración.
