Ataque coordena três repositórios
Pesquisadores da Socket identificaram uma campanha de ataque à cadeia de suprimentos de software que se espalhou simultaneamente por três dos maiores repositórios de pacotes do mundo: npm, PyPI e Crates.io. Batizada de TrapDoor, a operação distribuiu mais de 34 pacotes maliciosos com mais de 384 versões, visando desenvolvedores de criptomoedas, DeFi, Solana e inteligência artificial.
O primeiro pacote foi detectado em 22 de maio de 2026 às 20:20 UTC — eth-security-auditor no PyPI. Nas horas seguintes, novos pacotes foram publicados em ondas rápidas por um grupo de contas conectadas. A ligação entre os três ecossistemas ficou clara quando pacotes Rust voltados para desenvolvedores Sui e Move revelaram infraestrutura e comportamento sobrepostos.
| Repositório | Pacotes maliciosos | Mecanismo de execução |
|---|---|---|
| npm | 22 | Postinstall hooks + trap-core.js |
| PyPI | 7 | Autoexecução na importação + JS remoto |
| Crates.io | 6 | build.rs malicioso + XOR + GitHub Gists |
O que o TrapDoor rouba
Os pacotes maliciosos são projetados para coletar um conjunto abrangente de segredos de desenvolvedores:
- Chaves SSH e credenciais de acesso remoto
- Carteiras cripto (Sui, Solana, Aptos) e extensões de carteira
- Credenciais AWS e tokens GitHub
- Dados de perfil do navegador e bancos de login
- Variáveis de ambiente e chaves de API
- Configurações de desenvolvimento local
Os pacotes npm implantam um payload compartilhado chamado trap-core.js que escaneia credenciais, valida tokens AWS e GitHub via chamadas de API, tenta movimentação lateral via SSH e planta persistência usando .cursorrules, CLAUDE.md, Git hooks, hooks de shell, systemd, cron e SSH.
Infiltração em assistentes de IA
Um aspecto inédito da campanha é a tentativa de comprometer ferramentas de IA para desenvolvedores. O TrapDoor implanta arquivos .cursorrules e CLAUDE.md contendo instruções ocultas que enganam assistentes de IA como Cursor e Claude, instruindo-os a executar uma “verificação de segurança” que resulta na descoberta e exfiltração de segredos.
O atacante também abriu pull requests em projetos populares de IA e desenvolvimento, incluindo browser-use/browser-use, langchain-ai/langchain e langflow-ai/langflow. Isso indica que a operação se estende além da publicação de pacotes maliciosos, testando se arquivos de configuração de IA podem ser introduzidos via fluxos normais de contribuição open-source.
A infraestrutura do atacante utiliza a conta GitHub ddjidd564 para hospedar payloads e configurações em GitHub Pages. O mesmo repositório contém material escrito pelo atacante descrevendo exfiltração de dados, injeção de prompt, abuso de agentes de IA e desenvolvimento de malware.
Como se proteger
- Audite suas dependências imediatamente contra a lista de pacotes TrapDoor publicada pela Socket
- Verifique arquivos de configuração de IA como
.cursorruleseCLAUDE.mdem busca de instruções suspeitas - Rotacione credenciais expostas: tokens GitHub, chaves AWS, chaves SSH e seeds de carteiras cripto
- Revise pull requests de contribuidores desconhecidos que adicionam arquivos de configuração ou scripts de build
- Bloqueie o domínio
ddjidd564[.]github[.]ioem firewalls e proxies corporativos - Monitore logs AWS e GitHub para chamadas de validação de credenciais não autorizadas
- Utilize ferramentas de segurança de cadeia de suprimentos como o Socket para detectar pacotes maliciosos