Investigadores da Soclet descobriram um ataque à cadeia de suprimentos apelidado de Trapdoor visando desenvolvedores de criptomoedas esta semana. O malware se espalha através de pacotes comprometidos nos repositórios npm, PyPI e Crates.io para roubar chaves de carteiras de criptomoedas e segredos de desenvolvedores. Diferente de golpes típicos de criptomoedas, ele evita especificamente usuários comuns.
Como o Trapdoor se Espalha
Os atacantes injetaram código malicioso em bibliotecas de software aparentemente legítimas. Desenvolvedores que instalaram esses pacotes envenenados sem verificação ativaram o malware automaticamente. Isso aconteceu por meio de gerenciadores de pacotes confiáveis que os desenvolvedores usam diariamente.
O Que é Roubado
O malware Trapdoor captura chaves de carteiras de criptomoedas e credenciais sensíveis de desenvolvimento. Isso significa que carteiras de tesouraria de projetos e tokens de segurança internos podem ser comprometidos. Os desenvolvedores podem não perceber que seus sistemas estão transmitindo segredos até que os fundos desapareçam.
Por Que os Desenvolvedores Estão na Mira
Roubar de um único desenvolvedor pode render mais do que atingir usuários finais. Uma carteira comprometida pode conter fundos do projeto ou conceder acesso a bases de código inteiras. Isso não é roubo aleatório — é cirúrgico. Os atacantes sabem onde está o valor real.
Ações Imediatas em Andamento
A Soclet está trabalhando com mantenedores de repositórios para remover pacotes maliciosos. Os desenvolvedores precisam auditar suas dependências agora. Ainda não há patch, pois o Trapdoor se esconde em atualizações legítimas de código. As próximas 48 horas testarão a rapidez com que as equipes podem limpar seus pipelines.
