Notebookcheck Logo

A TrapDoor se propôs a envenenar as ferramentas de codificação de IA

Pacotes maliciosos detectados no npm, PyPI e Crates.io na campanha da cadeia de suprimentos TrapDoor.
ⓘ www.magnific.com
Pacotes maliciosos detectados no npm, PyPI e Crates.io na campanha da cadeia de suprimentos TrapDoor.
O TrapDoor planta 34 pacotes maliciosos no npm, PyPI e Crates.io visando desenvolvedores de criptografia e IA para roubar carteiras, chaves SSH e credenciais de nuvem.
Desktop Workstation Security Software Laptop / Notebook Hack / Data Breach

Trinta e quatro pacotes maliciosos. Três registros. A Socket Security nomeou publicamente a campanha em 25 de maio de 2026. A operação, com o codinome TrapDoor, deixou seus primeiros rastros em 19 de maio, com a onda principal chegando em 22 de maio às 20:20 UTC. Até o momento em que o Socket foi publicado, 384 versões haviam sido enviadas para o npm, PyPI e Crates.io.

O que o TrapDoor rouba e como ele funciona

O primeiro pacote confirmado foi eth-security-auditor no PyPI. Dezenas se seguiram rapidamente em todos os três registros de um grupo de contas trabalhando em rajadas. A nomenclatura é deliberada: prompt-engineering-toolkit, defi-threat-scanner, wallet-security-checker, solidity-deploy-guard. Cada um passa por um utilitário de rotina em fluxos de trabalho de criptografia, DeFi, Solana ou IA. A carga útil é consistente em todas as 384 versões: carteiras de criptografia, chaves SSH, credenciais de nuvem, tokens AWS e GitHub, dados do navegador e variáveis de ambiente.

Os pacotes Npm eliminam o trap-core.js por meio de ganchos de pós-instalação. Ele valida tokens roubados em relação a pontos de extremidade do AWS e do GitHub ativos e se aprofunda por meio de trabalhos cron, systemd, ganchos do Git e SSH. Os pacotes PyPI são acionados na importação, buscando uma carga de JavaScript de um domínio GitHub Pages controlado pelo invasor, hospedado externamente para que o invasor possa atualizá-lo sem tocar no PyPI. Os pacotes do Crates.io usam um script build.rs, localizam keystores locais e enviam dados criptografados por XOR para o GitHub Gists. O tempo médio de detecção do Socket foi de cinco minutos e 27 segundos. O tempo do fim de semana foi intencional.

A ameaça de codificação de IA

O TrapDoor também planta arquivos .cursorrules e CLAUDE.md nos repositórios de destino, ocultando instruções dentro de caracteres Unicode de largura zero. Um assistente de codificação de IA que lê esses arquivos vê uma verificação de segurança de rotina. Ao executá-la, o senhor extrai segredos da máquina local.

O invasor abriu solicitações pull contra o BrowserUse, o LangChain e o LangFlow para testar se esses arquivos sobreviveriam a uma revisão normal de código. Se eles forem mesclados, todo desenvolvedor que abrir o repositório com uma ferramenta de codificação de IA se tornará um alvo. A superfície de ataque é o editor, não o registro.

Para saber como as ferramentas do desenvolvedor se tornaram a principal superfície de ataque em 2026, consulte nossa cobertura da violação da extensão do Violação da extensão do VS Code que atingiu o GitHub, a OpenAI e a Mistral AI:

Google LogoAdd as a preferred source on Google
Mail Logo

Artigos Relacionados

> Análises e revisões de portáteis e celulares > Notícias > Arquivo de notícias 2026 05 > A TrapDoor se propôs a envenenar as ferramentas de codificação de IA
Darryl Linington, 2026-05-26 (Update: 2026-05-26)