🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova campanha coordenada de ataque à cadeia de suprimentos de software entre ecossistemas teve como alvo npm, PyPI e Crates.io para distribuir malware de roubo de credenciais.
A campanha, codinome TrapDoor, abrange mais de 34 pacotes maliciosos em mais de 384 versões. A primeira atividade foi registrada em 22 de maio de 2026, às 20h20. UTC, com novos pacotes publicados nos ecossistemas em ondas a partir de um conjunto de contas em rápida sucessão.
“TrapDoor tem como alvo desenvolvedores em comunidades de criptografia, DeFi, Solana e IA”, disse Socket. “Os pacotes maliciosos são projetados para roubar segredos de desenvolvedores, carteiras criptografadas, chaves SSH, credenciais de nuvem, dados de navegador e variáveis de ambiente.”
"Vários pacotes npm também implantam uma carga útil compartilhada, trap-core.js, que verifica credenciais, valida tokens AWS e GitHub, tenta movimento lateral baseado em SSH e planta persistência por meio de .cursorrules, CLAUDE.md, ganchos Git, ganchos shell, systemd, cron e SSH."
É importante notar que a atividade não tem conexão com outra campanha de mesmo nome que a equipe de pesquisa e inteligência de ameaças Satori da HUMAN detalhou na semana passada como envolvimento em fraude publicitária ao distribuir 455 aplicativos Android por meio da Google Play Store.
A lista de pacotes identificados está abaixo -
Crates.io
construção do analisador de movimento
mover-compilador-ferramentas
mover-projeto-construtor
sui-framework-ajudantes
sui-move-build-helper
sui-sdk-build-utils
npm
construtor de pipeline assíncrono
build-scripts-utils
validador de chave de cadeia
scanner de credenciais criptográficas
defi-env-auditor
scanner de ameaças defi
auditor de chave de implantação
dev-env-bootstrapper
eth-wallet-sentinela
compressor de contexto llm
verificação de segurança mnemônica
modelo-switch-roteador
ajudantes de configuração de nó
ferramentas de inicialização do projeto
kit de ferramentas de engenharia imediata
solidez-implantar-guarda
rastreador de uso de token
verificador de backup de carteira
verificador de segurança de carteira
detector de segredos web3
carregador de configuração do espaço de trabalho
PyPI
segurança da carteira criptografada
verificação de pipeline de dados
defi-risk-scanner
env-loader-cli
auditor de segurança eth
git-config-sync
solidez-construir-guarda
A operação é notável por seus diversos caminhos de entrega, usando ganchos pós-instalação, cargas JavaScript remotas que são executadas durante importações de pacotes e scripts build.rs maliciosos para atingir desenvolvedores Sui e Move. Os pacotes se disfarçam como ferramentas aparentemente inofensivas, dando aos invasores a capacidade de atingir um público amplo.
Descobriu-se que os pacotes npm executam uma carga JavaScript ("trap-core.js"), que verifica credenciais e segredos do desenvolvedor, valida credenciais roubadas usando chamadas de API AWS e GitHub e cria persistência no host usando tarefas cron, serviços systemd, ganchos Git e movimentos pela rede via SSH.
As caixas Rust, de maneira semelhante, procuram armazenamentos de chaves locais, criptografam os dados usando uma chave XOR codificada e exfiltram-nos para GitHub Gists. Os pacotes também merecem destaque pela utilização de um script de construção (“build.rs”) para acionar a execução do código malicioso.
Os pacotes Python associados ao TrapDoor são projetados de forma que sejam executados automaticamente na importação. O objetivo principal dos pacotes é baixar JavaScript de um domínio GitHub Pages controlado por invasor ("ddjidd564.github[.]io") e executá-lo usando "node -e".
“Essa técnica permite que o pacote Python delegue a execução a uma carga JavaScript remota, dando ao invasor mais flexibilidade após a publicação”, explicou Socket. “Ao hospedar a carga externamente, o invasor pode atualizar o comportamento sem publicar uma nova versão do PyPI.”
Um aspecto incomum da campanha é a implantação de .cursorrules e CLAUDE.md contendo instruções ocultas para enganar os assistentes de inteligência artificial (IA) para que executem uma “verificação de segurança” que resulta na descoberta e exfiltração de segredos. Isso é conseguido abrindo solicitações pull (PRs) do GitHub em projetos populares de IA e desenvolvedores, incluindo "uso de navegador/uso de navegador", "langchain-ai/langchain" e "langflow-ai/langflow".
A atividade de relações públicas indica que o TrapDoor vai além do envio de pacotes maliciosos para ecossistemas de código aberto. Socket disse que o ator da ameaça provavelmente está testando se os arquivos de projeto relacionados à IA podem ser introduzidos por meio de fluxos de trabalho regulares de contribuição de código aberto, fazendo com que as ferramentas de codificação de IA analisem essas instruções ocultas e as apliquem.
As descobertas demonstram mais uma vez como os agentes de ameaças estão cada vez mais visando os fluxos de trabalho dos desenvolvedores, com o objetivo de roubar uma ampla gama de informações que poderiam possibilitar a penetração mais profunda nos ambientes alvo para ataques subsequentes.
“O TrapDoor mostra como os invasores estão combinando o typosquatting tradicional de pacotes com caminhos de ataque mais recentes ao ambiente do desenvolvedor”, disse Socket. “Os nomes dos pacotes são adaptados para parecerem relevantes para o desenvolvimento de criptografia, ferramentas de IA, configuração do ambiente local e fluxos de trabalho de segurança. O malware então usa caminhos de execução específicos do ecossistema: b
A campanha, codinome TrapDoor, abrange mais de 34 pacotes maliciosos em mais de 384 versões. A primeira atividade foi registrada em 22 de maio de 2026, às 20h20. UTC, com novos pacotes publicados nos ecossistemas em ondas a partir de um conjunto de contas em rápida sucessão.
“TrapDoor tem como alvo desenvolvedores em comunidades de criptografia, DeFi, Solana e IA”, disse Socket. “Os pacotes maliciosos são projetados para roubar segredos de desenvolvedores, carteiras criptografadas, chaves SSH, credenciais de nuvem, dados de navegador e variáveis de ambiente.”
"Vários pacotes npm também implantam uma carga útil compartilhada, trap-core.js, que verifica credenciais, valida tokens AWS e GitHub, tenta movimento lateral baseado em SSH e planta persistência por meio de .cursorrules, CLAUDE.md, ganchos Git, ganchos shell, systemd, cron e SSH."
É importante notar que a atividade não tem conexão com outra campanha de mesmo nome que a equipe de pesquisa e inteligência de ameaças Satori da HUMAN detalhou na semana passada como envolvimento em fraude publicitária ao distribuir 455 aplicativos Android por meio da Google Play Store.
A lista de pacotes identificados está abaixo -
Crates.io
construção do analisador de movimento
mover-compilador-ferramentas
mover-projeto-construtor
sui-framework-ajudantes
sui-move-build-helper
sui-sdk-build-utils
npm
construtor de pipeline assíncrono
build-scripts-utils
validador de chave de cadeia
scanner de credenciais criptográficas
defi-env-auditor
scanner de ameaças defi
auditor de chave de implantação
dev-env-bootstrapper
eth-wallet-sentinela
compressor de contexto llm
verificação de segurança mnemônica
modelo-switch-roteador
ajudantes de configuração de nó
ferramentas de inicialização do projeto
kit de ferramentas de engenharia imediata
solidez-implantar-guarda
rastreador de uso de token
verificador de backup de carteira
verificador de segurança de carteira
detector de segredos web3
carregador de configuração do espaço de trabalho
PyPI
segurança da carteira criptografada
verificação de pipeline de dados
defi-risk-scanner
env-loader-cli
auditor de segurança eth
git-config-sync
solidez-construir-guarda
A operação é notável por seus diversos caminhos de entrega, usando ganchos pós-instalação, cargas JavaScript remotas que são executadas durante importações de pacotes e scripts build.rs maliciosos para atingir desenvolvedores Sui e Move. Os pacotes se disfarçam como ferramentas aparentemente inofensivas, dando aos invasores a capacidade de atingir um público amplo.
Descobriu-se que os pacotes npm executam uma carga JavaScript ("trap-core.js"), que verifica credenciais e segredos do desenvolvedor, valida credenciais roubadas usando chamadas de API AWS e GitHub e cria persistência no host usando tarefas cron, serviços systemd, ganchos Git e movimentos pela rede via SSH.
As caixas Rust, de maneira semelhante, procuram armazenamentos de chaves locais, criptografam os dados usando uma chave XOR codificada e exfiltram-nos para GitHub Gists. Os pacotes também merecem destaque pela utilização de um script de construção (“build.rs”) para acionar a execução do código malicioso.
Os pacotes Python associados ao TrapDoor são projetados de forma que sejam executados automaticamente na importação. O objetivo principal dos pacotes é baixar JavaScript de um domínio GitHub Pages controlado por invasor ("ddjidd564.github[.]io") e executá-lo usando "node -e".
“Essa técnica permite que o pacote Python delegue a execução a uma carga JavaScript remota, dando ao invasor mais flexibilidade após a publicação”, explicou Socket. “Ao hospedar a carga externamente, o invasor pode atualizar o comportamento sem publicar uma nova versão do PyPI.”
Um aspecto incomum da campanha é a implantação de .cursorrules e CLAUDE.md contendo instruções ocultas para enganar os assistentes de inteligência artificial (IA) para que executem uma “verificação de segurança” que resulta na descoberta e exfiltração de segredos. Isso é conseguido abrindo solicitações pull (PRs) do GitHub em projetos populares de IA e desenvolvedores, incluindo "uso de navegador/uso de navegador", "langchain-ai/langchain" e "langflow-ai/langflow".
A atividade de relações públicas indica que o TrapDoor vai além do envio de pacotes maliciosos para ecossistemas de código aberto. Socket disse que o ator da ameaça provavelmente está testando se os arquivos de projeto relacionados à IA podem ser introduzidos por meio de fluxos de trabalho regulares de contribuição de código aberto, fazendo com que as ferramentas de codificação de IA analisem essas instruções ocultas e as apliquem.
As descobertas demonstram mais uma vez como os agentes de ameaças estão cada vez mais visando os fluxos de trabalho dos desenvolvedores, com o objetivo de roubar uma ampla gama de informações que poderiam possibilitar a penetração mais profunda nos ambientes alvo para ataques subsequentes.
“O TrapDoor mostra como os invasores estão combinando o typosquatting tradicional de pacotes com caminhos de ataque mais recentes ao ambiente do desenvolvedor”, disse Socket. “Os nomes dos pacotes são adaptados para parecerem relevantes para o desenvolvimento de criptografia, ferramentas de IA, configuração do ambiente local e fluxos de trabalho de segurança. O malware então usa caminhos de execução específicos do ecossistema: b
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ataque #trapdoor #à #cadeia #de #suprimentos #espalha #malware #de #roubo #de #credenciais #via #npm, #pypi #e #cratesio
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário