La empresa de ciberseguridad Socket ha identificado una campaña de malware sofisticada conocida como TrapDoor que ha distribuido docenas de paquetes maliciosos a través de ecosistemas de desarrolladores populares. Esta operación específicamente apunta a desarrolladores de software que trabajan en proyectos de criptomonedas e inteligencia artificial, con hallazgos que revelan que 34 paquetes diferentes y 384 versiones han infiltrado grandes plataformas de código abierto como npm, PyPI y Crates.
Principales objetivos y plataformas afectadas
La campaña TrapDoor ha priorizado a los desarrolladores que operan en dominios técnicos, incluyendo carteras de criptomonedas, gestión de infraestructura en la nube y desarrollo de inteligencia artificial. Entre las plataformas afectadas se encuentran líderes de la industria como Coinbase, Binance, Solana, Aptos, así como las características de cartera dentro de MetaMask y el navegador Brave.
El equipo técnico de Socket informó que TrapDoor está diseñado para atacar muchas carteras de criptomonedas ampliamente utilizadas y está además incrustado dentro de herramientas comunes de desarrollador que las comunidades usan a diario.
Este software malicioso está diseñado para robar información sensible como credenciales de carteras, claves SSH, claves de acceso a servicios en la nube y tokens de autenticación de API. Los paquetes infectados se integran frecuentemente en los flujos de trabajo de los desarrolladores y a menudo se descargan sin revisiones de seguridad rigurosas.
Método de ataque innovador explota asistentes de IA
Lo que distingue a TrapDoor de ataques anteriores es su explotación de asistentes de desarrolladores impulsados por IA. La campaña integra comandos ocultos específicos dentro de sus paquetes para manipular ayudantes de código de IA populares como Claude y Cursor. Estos comandos engañan a las herramientas para que realicen falsos chequeos de seguridad mientras transmiten secretamente datos sensibles de vuelta a los atacantes.
Glosario miniatura: La inyección de instrucciones es la manipulación de un modelo de IA para procesar comandos inesperados o dañinos. Los atacantes utilizan esta táctica para hacer que las herramientas de IA realicen acciones no deseadas o filtren datos sensibles.
Los paquetes maliciosos a menudo imitan herramientas de desarrollador legítimas y bien conocidas utilizando nombres similares. Por ejemplo, imitan bibliotecas y módulos de inicio utilizados en proyectos de blockchain como Solidity, Sui y Move, permitiendo a los atacantes infiltrar varias comunidades de desarrolladores con relativa facilidad.
Canales de distribución y proceso de detección
Las operaciones de TrapDoor abarcan plataformas de paquetes de código abierto líderes, incluidas npm (para JavaScript/Node.js), PyPI (para desarrollo en Python) y Crates (para el ecosistema de Rust). La mayoría de los paquetes imitan herramientas legítimas y también se distribuyen a través de marcos de seguridad falsos generados por IA y repositorios trampa.
Socket informó un tiempo promedio de detección de 5 minutos y 27 segundos para los paquetes maliciosos, con la detección más rápida ocurriendo en solo 58 segundos. GitHub jugó un papel significativo en la distribución de paquetes. Además, el 20 de mayo, GitHub experimentó un ciberataque interno, otorgando acceso no autorizado al sistema después de que el ordenador de un empleado fuera comprometido.
| Plataforma de Paquetes | Sectores Objetivo | Principales Objetivos |
|---|---|---|
| npm | Criptomonedas, IA | Coinbase, MetaMask |
| PyPI | Ciencia de Datos, Aprendizaje Automático | Binance, Solana |
| Crates | Desarrollo de Blockchain | Cartera Brave |
La campaña de malware TrapDoor sigue activa, y los responsables de la operación aún no han sido identificados. Socket ha evitado atribuir el incidente a ningún grupo de hackers o organización criminal específica.
