Inicio
Noticias
Detalles

Campaña de robo de criptomonedas TrapDoor ataca npm, PyPI y Crates.io con 34+ paquetes maliciosos

iconTechFlow
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
SOL
$86,311,17 %
AI summary iconResumen

expand icon
Se ha descubierto una nueva campaña de robo de criptomonedas TrapDoor, que apunta a npm, PyPI y Crates.io con más de 34 paquetes maliciosos. Los atacantes están robando claves SSH, datos de monederos y credenciales de AWS a desarrolladores en los sectores de cripto, DeFi y noticias de IA + cripto. Los métodos incluyen hooks postinstall, ejecución remota de JavaScript y robo local de claves. Socket Security ha marcado todos los paquetes y los ha reportado a los registros. Los datos de inflación y la actividad de los desarrolladores permanecen bajo vigilancia estrecha mientras la amenaza se extiende.

Según un estudio de la empresa de seguridad Socket Security, se descubrió un ataque de cadena de suministro malicioso denominado TrapDoor, que afecta a npm, PyPI y Crates.io, involucrando más de 34 paquetes maliciosos y 384 versiones y artefactos relacionados, dirigidos a desarrolladores de criptomonedas, DeFi, Solana, Sui, Move y AI. Los ejemplos de ataque pueden robar claves SSH, datos de billeteras, credenciales de AWS, tokens de GitHub, datos del navegador, variables de entorno y otra información sensible. Los paquetes npm ejecutan una carga compartida trap-core.js mediante el hook postinstall, los paquetes PyPI ejecutan JavaScript remoto al importarse, y los paquetes Crates.io utilizan build.rs para robar llaveros locales. Socket ya ha marcado todos los paquetes relacionados como maliciosos y los ha reportado a los registros correspondientes.

Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.