Uma campanha avançada de ciberataques está atingindo desenvolvedores de criptomoedas e inteligência artificial com o malware TrapDoor, projetado para roubar carteiras digitais, credenciais e acessos críticos.

Uma ameaça sofisticada passou a atingir diretamente profissionais de tecnologia. Em especial, desenvolvedores ligados ao mercado de criptomoedas e projetos de IA enfrentam riscos elevados. A empresa de segurança Socket identificou a campanha após detectar pacotes maliciosos distribuídos em plataformas amplamente utilizadas.

Batizada de TrapDoor, a operação envolve ao menos 34 pacotes contaminados e 384 versões associadas. Esses arquivos circularam em repositórios como npm, PyPI e Crates.io. Como resultado, o alcance do ataque se ampliou rapidamente, já que essas plataformas são essenciais no desenvolvimento moderno.

Alerta: ataque ativo à cadeia de suprimentos em npm, PyPI e Crates.io.

A Socket detectou o TrapDoor, uma campanha de roubo de dados que atinge dezenas de pacotes maliciosos e centenas de versões distribuídas entre diferentes ecossistemas.

SocketSecurity no X

Os invasores ocultaram códigos maliciosos em pacotes aparentemente legítimos. Por exemplo, nomes como “solidity-deploy-guard” e “defi-threat-scanner” ajudaram a enganar usuários. Assim, muitos desenvolvedores instalaram os arquivos sem suspeitar do risco.

Além disso, os criminosos adotaram uma estratégia contínua de disseminação. Eles lançaram novas versões contaminadas ao longo de vários dias. Dessa forma, dificultaram a identificação rápida e atrasaram as ações de contenção.

Como o TrapDoor compromete dados sensíveis

Roubo de credenciais e acesso a sistemas

Uma vez instalado, o TrapDoor coleta uma ampla variedade de informações. Em outras palavras, o malware atua como um coletor completo de dados sensíveis. Entre os principais alvos estão chaves SSH, carteiras digitais e credenciais em nuvem.

Além disso, tokens do GitHub e dados armazenados em navegadores entram na lista. Como resultado, o atacante pode obter controle quase total da vida digital da vítima. No caso de usuários do mercado de criptomoedas, o impacto pode ser imediato e financeiro.

O risco, no entanto, vai além do indivíduo. Chaves SSH roubadas permitem acesso a redes corporativas inteiras. Assim, uma única infecção pode abrir portas para ataques mais amplos dentro de empresas.

Outro ponto relevante envolve o uso de caracteres invisíveis. Esses elementos foram inseridos com o objetivo de enganar assistentes de IA. Dessa maneira, ferramentas automatizadas executam verificações falsas enquanto dados são extraídos silenciosamente.

Ademais, os atacantes tentaram inserir códigos maliciosos em projetos open source populares. Assim sendo, qualquer reutilização desses códigos pode comprometer novos sistemas e ampliar ainda mais o alcance da campanha.

Detecção rápida não elimina ameaça

Campanha ativa desde maio amplia riscos

Os sistemas da Socket identificaram rapidamente diversos pacotes maliciosos. O tempo médio de detecção foi de 5 minutos e 27 segundos. Em alguns casos, a identificação ocorreu em menos de um minuto.

Apesar disso, a velocidade não garantiu proteção total. A campanha já estava ativa desde pelo menos 19 de maio. Portanto, muitos desenvolvedores podem ter baixado versões contaminadas antes dos alertas.

Nesse sentido, especialistas recomendam revisar dependências recentes. Além disso, sugerem auditorias completas em projetos ativos. Essa prática reduz o risco de exposição prolongada.

Outro fator preocupante é a capacidade do malware de se misturar ao fluxo normal de trabalho. Ou seja, o TrapDoor opera de forma discreta dentro de ferramentas comuns, o que reduz significativamente as chances de detecção precoce.

Por fim, o episódio reforça a necessidade de vigilância constante. Embora repositórios sejam confiáveis na maioria dos casos, ataques à cadeia de suprimentos continuam evoluindo. Assim, o TrapDoor evidencia como o setor cripto se tornou um alvo estratégico para criminosos digitais.