Blockchain Criptomonedas Seguridad Campaña de malware TrapDoor apunta de desarrollo IA y cripto, incluidos Aptos, Sui y Solana Por Hannah Pérez Investigadores de seguridad identificaron una campaña de malware denominada TrapDoor que utiliza paquetes maliciosos en npm, PyPI y Crates. io para robar claves, billeteras y credenciales de desarrolladores vinculados a ecosistemas cripto y herramientas de IA. *** La campaña afectó más de 34 paquetes y 384 versiones en npm, PyPI y Crates. io. El malware apunta a desarrolladores de Solana , Sui, Aptos , DeFi y herramientas de IA. TrapDoor roba wallets, claves SSH, credenciales AWS, tokens GitHub y datos del navegador.
Alerta Malware: TrapDoor ataca ecosistemas crypto y IA Más de 34 paquetes maliciosos encontrados en npm, PyPI y . El malware roba claves, wallets y credenciales de desarrollo. Objetivos incluyen Sui, Solana y Aptos. Detectados métodos… pic. . com/iG6dEwR0gJ — Diario฿itcoin (@DiarioBitcoin) May 25, 2026 Una nueva campaña de malware bautizada como “TrapDoor” encendió las alarmas dentro de la industria blockchain y de desarrollo de software, luego de que investigadores detectaran decenas de paquetes maliciosos distribuidos a través de npm, PyPI y Crates. io, tres de los principales repositorios utilizados por programadores en todo el mundo.
La operación, identificada por investigadores de Socket Security , apunta específicamente a entornos de desarrollo relacionados con criptomonedas, finanzas descentralizadas (DeFi), inteligencia artificial (IA) y ecosistemas blockchain como Solana, Aptos y Sui. Según el reporte, reseñado por The Block , los atacantes utilizaron nombres de paquetes diseñados para parecer herramientas legítimas de auditoría, seguridad, configuración de entornos y utilidades para desarrolladores. El caso refleja un problema creciente dentro de la industria tecnológica: los ataques de supply chain o cadena de suministro de software.
En este tipo de incidentes, los atacantes no comprometen directamente a una empresa, sino que infiltran herramientas, librerías o dependencias utilizadas por desarrolladores, permitiendo ejecutar código malicioso de forma silenciosa durante procesos normales de instalación o compilación. De acuerdo con el análisis, TrapDoor fue diseñado para robar información altamente sensible almacenada en computadoras de desarrolladores, incluyendo claves SSH, wallets de criptomonedas, credenciales AWS, tokens de GitHub, variables de entorno, datos de navegadores y configuraciones locales de desarrollo.
Campaña coordinada entre múltiples ecosistemas Los investigadores identificaron más de 34 paquetes maliciosos y más de 384 versiones relacionadas distribuidas entre npm, PyPI y Crates. io. Algunos paquetes ya fueron eliminados, mientras otros permanecían activos al momento de publicarse el reporte. Entre los paquetes detectados aparecieron nombres como “wallet-security-checker”, “crypto-credential-scanner”, “defi-risk-scanner”, “move-project-builder” y “sui-framework-helpers”, todos diseñados para parecer herramientas útiles para desarrolladores blockchain.
Según el análisis técnico, la campaña utilizó mecanismos distintos dependiendo del ecosistema atacado. En npm, el malware operaba mediante hooks “postinstall”, capaces de ejecutar código automáticamente después de instalar un paquete. En Python, los paquetes maliciosos activaban cargas remotas durante el proceso de importación. En Rust , los atacantes explotaron scripts “build. rs”, ejecutados automáticamente durante la compilación de proyectos.
Los investigadores señalaron que esta estructura coordinada entre múltiples registries dificultó detectar inicialmente el alcance real de la operación. Un paquete aislado podía parecer un incidente menor, pero la repetición de patrones, infraestructura y comportamiento permitió conectar los distintos componentes bajo una misma campaña maliciosa. El reporte además indica que las publicaciones ocurrieron en rápidas oleadas coordinadas. El primer paquete detectado fue “eth-security-auditor@0. 1. 0”, subido a PyPI el 22 de mayo de 2026 a las 20:20 UTC. Dos minutos después ya existía una versión compilada disponible.
Objetivo: billeteras, infraestructura cloud y acceso lateral TrapDoor no solo busca robar información local básica. El malware parece diseñado para comprometer entornos completos de desarrollo y potencialmente expandirse hacia infraestructura empresarial conectada. Entre los objetivos identificados aparecen wallets de Sui, Solana y Aptos , bases de datos de inicio de sesión de navegadores, claves SSH reutilizables, extensiones de wallets cripto y credenciales cloud capaces de otorgar acceso a sistemas CI/CD, repositorios privados y entornos de despliegue. El componente npm de la campaña fue descrito como particularmente sofisticado.
Los paquetes descargaban un payload compartido llamado “trap-core. js”, un archivo de más de 1. 100 líneas dedicado a recolectar credenciales y mantener persistencia dentro de sistemas comprometidos.
Etiquetas: ciberseguridad, blockchain, malware, Solana, Aptos, Sui, npm, PyPI
About the Author
