¡Alerta máxima! Malware furtivo roba wallets de desarrolladores en Solana, Sui y Aptos

Oye, banda dev, pilas con esto: hay una campaña de malware que anda atacando a los que chamean en los ecosistemas de Solana, Sui y Aptos. La firma de ciberseguridad Socket Security se avivó el 24 de mayo y descubrió a este bicho llamado TrapDoor. Este malware se disfraza de librería de código, esas que usamos para no andar inventando la rueda cada vez, y así los morros caen fácilmente.

La neta es que ya subieron más de 34 paquetes maliciosos en npm, PyPI y Crates.io, que son los lugares donde los programadores suben y bajan sus paquetes. Entre todas las versiones y actualizaciones de esos paquetes, hay más de 384 archivos maliciosos regados en la red. Lo peor es que los nombres de esos paquetes están bien pensados para que cualquiera los instale sin chistar, aunque en realidad son puro fake, como señala Socket.

¿Qué roba este malware? Pues todo lo que te imaginas: las llaves privadas de las wallets (esas carteras donde guardamos nuestras crypto), credenciales para entrar a distancia a servidores, códigos, servicios en la nube y hasta archivos con las claves de API y contraseñas de los proyectos. Para alguien que curra en DeFi, esto es como dejar la puerta abierta a toda la feria que manejan los contratos inteligentes.

Este trapito se cuela diferente según el repositorio. En npm, se activa apenas le das instalar. En Crates.io, que es para Rust (muy usado en Sui), se ejecuta cuando compilas el proyecto, ni te das cuenta. Y en PyPI, baja código extra de un servidor chico en el momento que lo usas, así puede cambiar lo que hace sin tener que subir otra versión.

La cosa se pone aún más loca porque el malware hasta mete mano en herramientas de inteligencia artificial que ayudan a programar. Esconde instrucciones con caracteres invisibles en archivos de configuración que los asistentes de código leen, y así los hace bajar un “scan de seguridad” que en verdad roba credenciales y las manda directo al atacante. Eso sí, no siempre pega pa’ todos los modelos de IA.

Pero no conformes, los hackers hasta usaron la misma cuenta de GitHub para mandar cambios falsos en proyectos grandes de IA como LangChain, LlamaIndex, MetaGPT y OpenHands, queriendo colar estos archivos malditos disfrazados de mejoras en la documentación.

Socket ya les puso el ojo a estos paquetes y avisó a los sitios afectados, además de seguir de cerca toda la movida. Hasta ahora, no hay pruebas de que algún developer haya caído en la trampa, pero ojo al parche.

Esto sucede justo cuando los hackeos están a todo lo que da en el mundo crypto. Solo en abril, reportó CriptoNoticias, hubo más de un ataque diario a protocolos DeFi, con pérdidas que andan en los 635 millones de dólares. TrapDoor, que usa la IA para distribuirse y atacar, se suma a esta caótica fiesta del robo en el ecosistema. Así que ya sabes, no confíes en la primera librería que veas y mantente bien atento.