Эксперты сообщили о вредоносной кампании TrapDoor против разработчиков Sui и Solana

• Эксперты Socket Security выявили десятки вредоносных пакетов в npm, PyPI и Crates.io.
• Кампания TrapDoor нацелена на кражу SSH-ключей, криптокошельков и облачных учетных данных.
• Атакующие маскировали вредоносное ПО под инструменты для DeFi, ИИ и разработки блокчейн-приложений.

Исследователи компании Socket Security сообщили о масштабной вредоносной кампании TrapDoor. Она ориентирована на среды разработки криптографических приложений и блокчейн-экосистемы Aptos, Sui и Solana.

По данным специалистов, злоумышленники разместили более 34 вредоносных пакетов и свыше 384 связанных версий в популярных репозиториях npm, PyPI и Crates.io.

Среди обнаруженных пакетов исследователи выделили sui-framework-helpers, move-analyzer-build и sui-move-build-helper, опубликованные через Crates.io. Вредоносное ПО предназначено для кражи SSH-ключей, файлов криптокошельков, токенов GitHub, учетных данных AWS и баз данных авторизации браузеров с компьютеров разработчиков.

Для заражения использовались механизмы, специфичные для разных языков программирования и экосистем. В частности, npm-хуки postinstall, Python-импорты и Rust-скрипты build.rs.

Маскировка под инструменты для DeFi и ИИ

По данным исследователей, названия пакетов были специально подобраны так, чтобы напоминать легитимные инструменты для разработки в сферах ИИ, криптовалют и DeFi.

Среди примеров Socket Security назвала crypto-credential-scanner, wallet-security-checker, defi-env-auditor и defi-risk-scanner.

Эксперты считают, что злоумышленники рассчитывали атаковать среды, где разработчики хранят облачные ключи, данные кошельков и другую чувствительную информацию.

Самым ранним выявленным пакетом стал [email protected], загруженный в PyPI в пятницу вечером. По словам