¡Alerta! Carteras de Solana, Sui y Aptos en la mira de un ataque sorpresa con TrapDoor

Órale, banda, les traigo un chisme bien fuerte del mundo crypto y devs. Resulta que hay una campaña de robo de criptos que está cazando a los desarrolladores más chidos, esos que tienen llave maestra de wallets, credenciales de la nube y acceso a producción en la compu.

Unos expertos de la firma Socket se lanzaron esta semana con la neta completa y descubrieron un ataque bien fregón llamado TrapDoor, que se coló en 3 chidos registros de código abierto: npm, PyPI y Crates.io. Había más de 34 paquetes malitos y un chorro de versiones clonadas que estaban haciendo de las suyas.

La estrategia está bien dirigida. No es cualquier persona la que buscan, sino a los devs que nomás con prender la compu tienen acceso a montones de datos sensibles como archivos de wallet, keys de SSH, tokens de GitHub y credenciales de la nube. O sea, la máquina que usan para hacer sus rollos de crypto y AI.

Socket no soltó nombres de víctimas ni cuánto se robaron, pero sí avisaron que estos paquetes estaban activos en esos registros y tenían código para sacar info de wallets, agarrar credenciales, checar tokens de AWS y GitHub y sembrar archivos para que el ataque siga chido y activo.

Los paquetes estaban escritos en JavaScript, Python y Rust, pero se disfrazaban bien chido como si fueran herramientas monchis: scanners de seguridad, helpers de wallets, utilerías para Solidity, ayudantes para build de Sui o Move y unos paquetes para prompts de AI.

Los nombres eran bien simples y aburridos a propósito, como “wallet-security-checker”, “defi-risk-scanner”, “solidity-build-guard” y “move-compiler-tools”. Así parecía que eran software seguro que cualquier dev crypto o AI se podría aventar sin pensarlo dos veces.

Pero cuando los instalaban, el malware no sólo se quedaba con el paquete, sino que empezaba a buscar por toda la compu las llaves privadas, contraseñas, tokens de GitHub y accesos a la nube. También intentaba usar esa info robada para moverse a otros sistemas con SSH y dejaba archivos que mantenían abierto el chuequeo.

Las keys de SSH son como credenciales mágicas que usan los devs para entrar a servidores, repositorios y máquinas. Si alguien las chinga, puede brincarse de una laptop robada a toda la red de la empresa, neta peligroso.

Además, el ataque usaba archivos raros tipo .cursorrules y claude.md, que los devs usan para dar instrucciones específicas a las herramientas de AI con las que programan. Según Socket, la campaña escondió instrucciones falsas con caracteres invisibles para que las futuras sesiones con AI hagan “escaneos de seguridad” falsos y así sigan robando info.

Así, el ataque no sólo roba paquetes, sino que se vuelve malware que se mete en todo el ambiente del dev. Instalar el paquete es solo la punta del iceberg: la bola es robar wallets, repos, datos del navegador, claves de la nube, SSH y todo lo que el AI lee después.

Los paquetes en Rust usaban scripts maliciosos que se ejecutaban mientras se compilaba, atacando a los devs de Sui y Move. Los de PyPI ejecutaban JavaScript remotamente al importarlos. Los de npm usaban hooks que se activaban después de la instalación.

Socket ya reportó todo esto a los registros afectados y marcó esos paquetes como maliciosos. También alertaron que el atacante estaba tratando de colar esos archivos tranzas (.cursorrules y CLAUDE.md) como si fueran contribuciones normales en proyectos de open source.

Así que pilas, devs, no se confíen y chequen bien qué paquete se meten, porque estos ladrones van directo por lo más valioso que tienen. ¡No dejen que les chinguen la lana ni la seguridad, compas!