Pesquisadores da Socket Security identificaram uma campanha de malware voltada a desenvolvedores de criptomoedas, com pacotes maliciosos publicados em bancos de dados usados por programadores de JavaScript, Python e Rust. A operação, batizada de TrapDoor, mira ambientes ligados a ecossistemas como Aptos, Sui e Solana, com o objetivo de roubar credenciais sensíveis de máquinas de desenvolvimento.Segundo a Socket, foram encontrados mais de 34 pacotes maliciosos, somando mais de 384 versões, distribuídos em plataformas como npm, PyPI e Crates.io. Entre os nomes identificados estão pacotes como sui-framework-helpers, sui-move-build-helper, move-analyzer-build, crypto-credential-scanner, defi-env-auditor, wallet-security-checker, eth-security-auditor e defi-risk-scanner.A estratégia dos invasores foi criar nomes que se parecessem com ferramentas legítimas usadas em fluxos de desenvolvimento cripto, DeFi, segurança e até inteligência artificial. Com isso, os pacotes poderiam atrair desenvolvedores que buscavam bibliotecas para auditoria, construção de projetos em Move, análise de carteiras ou verificação de credenciais.Uma vez instalados ou importados, os pacotes eram capazes de executar código automaticamente por mecanismos comuns em cada linguagem. No npm, a execução ocorria por hooks de pós-instalação; no Python, por gatilhos de importação; e no Rust, por scripts build.rs. Esse tipo de abordagem permite que o malware rode dentro do fluxo normal de desenvolvimento, muitas vezes antes que o programador perceba qualquer comportamento suspeito.O objetivo do TrapDoor, segundo os pesquisadores, era coletar dados de alto valor, incluindo chaves SSH, keystores de carteiras, credenciais da AWS, tokens do GitHub e bases de login armazenadas em navegadores. Em ambientes cripto, esse tipo de informação pode abrir caminho para roubo de fundos, acesso a repositórios privados, comprometimento de infraestrutura em nuvem e ataques à cadeia de suprimentos de software.A Socket afirmou que o primeiro pacote observado foi o módulo eth-security-auditor, publicado no PyPI na sexta-feira às 20h20 UTC, com uma versão compilada disponibilizada dois minutos depois. A partir daí, outros pacotes foram lançados em rápida sequência por diferentes contas, em ondas concentradas de publicação entre os registries.Apesar do número relativamente limitado de pacotes, os pesquisadores classificaram a campanha como de baixo volume, mas alto impacto. Isso porque o alvo não era atingir o maior número possível de usuários comuns, mas ambientes de desenvolvimento com credenciais de grande valor financeiro e operacional.O caso reforça um risco crescente para o setor cripto: ataques não apenas contra usuários finais ou protocolos, mas contra os próprios desenvolvedores que constroem aplicações, carteiras e infraestrutura blockchain. Ao comprometer uma máquina de desenvolvimento, invasores podem obter acesso a chaves, tokens e sistemas que servem de base para projetos inteiros.A recomendação para desenvolvedores é redobrar a atenção antes de instalar bibliotecas pouco conhecidas, verificar a origem dos pacotes, revisar scripts de instalação e build, usar ambientes isolados para testes e manter credenciais sensíveis fora de máquinas expostas. Em projetos cripto, onde uma chave ou token comprometido pode significar perdas imediatas, a segurança da cadeia de dependências se tornou parte essencial da proteção dos próprios ativos digitais.Procurando uma alternativa para aumentar seus ganhos? A Renda Fixa Digital do MB é a solução: até 18% de ganho ao ano, risco controlado e a segurança que seu dinheiro merece. Conheça agora!O post Malware mira desenvolvedores de criptomoedas, incluindo Solana, Aptos e Sui apareceu primeiro em Portal do Bitcoin.