O que aconteceu

TrapDoor e uma campanha coordenada de ataque a cadeia de suprimentos de software. Em vez de invadir diretamente uma empresa, os criminosos publicaram pacotes falsos em repositórios usados por desenvolvedores: npm, PyPI e Crates.io. A atividade mais antiga citada ocorreu em 22 de maio de 2026, as 20h20 UTC, com novas publicacoes surgindo em ondas por varias contas.

O alvo principal foram comunidades de cripto, DeFi, Solana e AI. Entre os pacotes citados estao nomes como crypto-credential-scanner, wallet-security-checker, defi-risk-scanner, env-loader-cli, move-analyzer-build e sui-sdk-build-utils.

Como o ataque funciona

Os pacotes maliciosos usavam caminhos diferentes para executar codigo no ambiente do desenvolvedor. Alguns acionavam comandos depois da instalacao. Outros baixavam e rodavam arquivos JavaScript remotos. Em pacotes npm, a investigacao cita um payload compartilhado chamado trap-core.js.

Na pratica, esse codigo procurava segredos no computador e no projeto: variaveis de ambiente, tokens da AWS e do GitHub, chaves SSH, dados de navegador e carteiras cripto. Tambem tentava validar credenciais encontradas e usar chaves SSH para se mover para outros ambientes. Para continuar ativo, podia alterar arquivos e mecanismos como .cursorrules, CLAUDE.md, Git hooks, shell hooks, systemd, cron e SSH.

Sinais de alerta

Equipes de tecnologia devem tratar com cuidado qualquer dependencia nova, principalmente quando o nome parece prometer auditoria, protecao ou automacao de cripto. Sinais importantes incluem:

• Pacotes recem-publicados com muitas versoes em pouco tempo.
• Nomes parecidos com ferramentas legitimas de seguranca, carteira, DeFi ou deploy.
• Scripts executados automaticamente apos a instalacao.
• Chamadas para baixar codigo externo durante a instalacao.
• Alteracoes inesperadas em Git hooks, cron, systemd, arquivos de shell ou configuracoes de SSH.

Como se proteger

A medida mais urgente e revisar se algum pacote citado foi usado em projetos, imagens de CI/CD ou ambientes de desenvolvimento. Se houver suspeita, remova o pacote, preserve evidencias e troque credenciais que possam ter sido expostas.

• Revogue e gere novamente tokens do GitHub, AWS e outras nuvens usados no ambiente.
• Troque chaves SSH que estavam no computador ou pipeline afetado.
• Verifique variaveis de ambiente e arquivos de configuracao com segredos.
• Bloqueie instalacoes automaticas de pacotes sem revisao.
• Monitore conexoes incomuns e tentativas de uso de credenciais antigas.

Checklist pratico

1. Pesquise nos seus repositorios e pipelines por pacotes citados, como wallet-security-checker, defi-risk-scanner, env-loader-cli, move-analyzer-build e sui-sdk-build-utils.
2. Revise scripts de instalacao, chamadas remotas e arquivos modificados automaticamente, incluindo Git hooks, cron, systemd e configuracoes de SSH.
3. Revogue tokens, chaves SSH e credenciais de nuvem expostas, mesmo que nao haja sinal claro de uso indevido.

Perguntas frequentes

TrapDoor afetou apenas um repositório de pacotes?

Nao. A campanha citada atingiu tres ecossistemas: npm, PyPI e Crates.io, o que aumenta o alcance entre projetos JavaScript, Python e Rust.

Quem deve se preocupar primeiro?

Desenvolvedores e empresas que trabalham com cripto, DeFi, Solana e AI devem priorizar a revisao, pois esses grupos foram apontados como alvos da campanha.

Instalar o pacote ja significa vazamento confirmado?

Nao necessariamente, mas deve ser tratado como incidente potencial. A orientacao segura e remover o pacote, investigar execucao e trocar credenciais que estavam acessiveis.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/05/trapdoor-supply-chain-attack-spreads.html