Un attacco alla supply chain, identificato con il nome TrapDoor, ha coinvolto gli ecosistemi npm, PyPI e Crates.io, colpendo sviluppatori nel settore crypto, DeFi, intelligenza artificiale e sicurezza informatica. La campagna malevola comprende oltre 34 pacchetti dannosi e circa 384 versioni distribuite, alcune delle quali ancora attive al momento della scoperta.
La campagna è stata scoperta dai ricercatori di Socket, che hanno identificato un’operazione coordinata volta a compromettere i flussi di lavoro degli sviluppatori attraverso pacchetti apparentemente legittimi. Secondo l’analisi, i pacchetti venivano pubblicati in rapida successione e spesso si presentavano come strumenti di supporto allo sviluppo, configurazione o automazione.
Il malware TrapDoor è progettato per il furto di informazioni sensibili presenti negli ambienti di sviluppo. Tra i dati presi di mira figurano chiavi SSH, credenziali cloud (come AWS), token GitHub, file di configurazione locali e wallet di criptovalute tra cui Sui, Solana e Aptos. Alcuni pacchetti npm includevano inoltre un payload comune, denominato trap-core.js, in grado di raccogliere credenziali, verificare token, esplorare sistemi locali e facilitare movimenti laterali tramite SSH.
La campagna si distingue per l’uso di tecniche diverse a seconda dell’ecosistema: su npm tramite hook di post-installazione, su PyPI con esecuzione di codice all’importazione e su Crates.io tramite script di build malevoli. Questa strategia multi-piattaforma consente al malware di integrarsi nei normali processi di installazione e sviluppo, rendendo più difficile la rilevazione.
I ricercatori hanno inoltre evidenziato possibili collegamenti infrastrutturali tra i pacchetti, inclusi account GitHub e repository utilizzati per ospitare payload e configurazioni. L’insieme delle evidenze suggerisce una campagna strutturata e mirata, progettata per colpire ambienti ad alta densità rilevanti e credenziali.
La campagna rappresenta un rischio elevato perché colpisce direttamente i flussi di lavoro degli sviluppatori, sfruttando pacchetti apparentemente utili per ottenere accesso a sistemi, repository e ambienti di sviluppo. Alcuni pacchetti sono già stati rimossi, mentre altri risultano ancora in circolazione e sotto monitoraggio.
https://socket.dev/blog/trapdoor-crypto-stealer-npm-pypi-crates
