A empresa de segurança Socket Security identificou uma campanha de malware ativa que tem como alvo direto desenvolvedores que trabalham com criptomoedas. O ataque foi batizado de “TrapDoor” e opera por meio de pacotes maliciosos publicados em repositórios de código aberto.
Ao todo, mais de 34 pacotes foram mapeados. Os nomes foram escolhidos para imitar ferramentas legítimas usadas em projetos de cripto, DeFi e inteligência artificial — dificultando a identificação antes da instalação.
Uma vez na máquina do desenvolvedor, o malware vai atrás de dados específicos: chaves SSH, tokens do GitHub, credenciais da AWS, bancos de dados de login de navegadores e, principalmente, arquivos de carteiras digitais.
Os ecossistemas mais afetados são Solana (SOL), Sui (SUI) e Aptos (APT). Mas a lista de carteiras visadas é mais ampla. Ahmad Nassri, CTO da Socket Security, confirmou que o código malicioso também mira Coinbase, Binance, MetaMask e o navegador Brave.
O vetor de ataque é o ambiente de desenvolvimento — não o usuário final. Quem está em risco, neste caso, são programadores que instalam dependências de projetos sem verificar a origem. Um descuido comum, especialmente em fluxos de trabalho rápidos.
A Socket Security publicou os detalhes da campanha no X e recomenda que equipes de desenvolvimento revisem os pacotes instalados recentemente, especialmente aqueles relacionados a automação, DeFi e ferramentas de segurança.
