Uma operação batizada de TrapDoor infiltrou mais de 34 pacotes maliciosos em três grandes repositórios open-source para roubar chaves SSH, configurações de carteiras e credenciais de nuvem de desenvolvedores do setor cripto.
Em 24 de maio de 2026, a equipe de pesquisa de segurança da Socket.dev divulgou uma campanha de envenenamento de cadeia de suprimentos de software que atingiu simultaneamente os ecossistemas npm, PyPI e Crates.io. A operação, nomeada TrapDoor, somou ao menos 34 pacotes maliciosos distribuídos em 384 versões publicadas, com foco em desenvolvedores das áreas de criptomoedas, DeFi, Solana, inteligência artificial e segurança da informação.
Segundo a SlowMist, empresa especializada em segurança blockchain, o sistema de monitoramento MistEye identificou de forma independente atividades de publicação de pacotes maliciosos associadas à mesma operação nos três ecossistemas. A descoberta reforça a escala e a sofisticação da campanha, que se aproveitou de mecanismos nativos de execução automática de cada plataforma para acionar código malicioso sem interação direta da vítima.
O vetor central da TrapDoor era simples e eficaz: disfarçar bibliotecas destrutivas como ferramentas legítimas e amplamente utilizadas no cotidiano de desenvolvedores. Uma vez instalados, os pacotes disparavam rotinas de coleta de dados sensíveis — tudo nos bastidores, durante a fase de instalação ou compilação do projeto.
Como cada ecossistema foi explorado
Os atacantes souberam adaptar suas técnicas às particularidades de cada repositório. No npm, utilizaram o gatilho postinstall — um script executado automaticamente ao final da instalação de qualquer pacote. No PyPI, exploraram os pontos de entrada (import entry points) para acionar código no momento em que a biblioteca era importada. Já no Crates.io, abusaram dos scripts build.rs, arquivos de compilação que rodam antes mesmo do código do desenvolvedor.
Disfarçado de ferramenta de sincronização de configurações Git. Executava coleta de credenciais ao ser importado pelo projeto da vítima.
Apresentado como biblioteca auxiliar para desenvolvimento em Sui Move. O script build.rs disparava o payload durante a compilação do projeto.
Simulava uma ferramenta de rastreamento de consumo de tokens. O hook postinstall era o ponto de entrada para execução do código malicioso.
O que os atacantes queriam roubar
O objetivo dos pacotes maliciosos ia muito além de credenciais simples. A análise técnica da SlowMist identificou que os alvos incluíam chaves SSH, configurações de carteiras blockchain, credenciais de serviços em nuvem e estados de sessão de navegadores — um arsenal de informações que permite desde o acesso remoto a servidores até o esvaziamento de carteiras de criptomoedas.
Por que desenvolvedores cripto são o alvo preferido
Desenvolvedores que trabalham com DeFi, Solana e infraestrutura blockchain frequentemente têm acesso a chaves privadas de contratos inteligentes, carteiras de teste com saldos reais e APIs de exchanges. Um único ambiente de desenvolvimento comprometido pode representar perdas milionárias — o que torna esse perfil de profissional especialmente valioso para agentes maliciosos.
Segundo a SlowMist em seu relatório publicado no Medium, a operação TrapDoor representa um padrão crescente de ataques sofisticados à cadeia de suprimentos de software open-source, nos quais a confiança depositada em repositórios públicos é explorada como vetor de entrada. A empresa recomenda que equipes de desenvolvimento adotem verificação rigorosa de dependências e auditem scripts de instalação antes de incorporar novos pacotes a projetos sensíveis.
Para desenvolvedores que lidam com ativos digitais, a segurança não termina no código que escrevem — ela começa nas ferramentas que instalam. Manter hardware wallets para custódia de chaves críticas é uma camada adicional de proteção que não pode ser comprometida por pacotes maliciosos no ambiente de desenvolvimento.
Leia tambem: guia completo de criptomoedas.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Proteja seus ativos com hardware wallet oficial
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Segurança em DeFi: principais riscos para desenvolvedoresConheça os vetores de ataque mais comuns em projetos descentralizados e como mitigá-los.
🔍 Como auditar dependências open-source em projetos criptoBoas práticas para verificar pacotes de terceiros antes de incluí-los em seu ambiente de desenvolvimento.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.