Data dompet Solana, Sui, dan Aptos menjadi sasaran dalam serangan paket TrapDoor

Kampanye pencurian kripto baru menargetkan para pengembang yang paling mungkin memiliki kunci dompet, kredensial cloud, dan akses produksi yang tersimpan di mesin mereka.

Para peneliti di perusahaan keamanan Socket mengatakan awal pekan ini mereka mengidentifikasi serangan rantai pasokan yang disebut TrapDoor yang menyebar di tiga repositori pemrograman open-source utama, dengan lebih dari 34 paket berbahaya serta ratusan versi dan artefak terkait.

Satu hal penting yang dapat disimpulkan adalah bahwa para pelaku serangan semakin fokus. Selain rekayasa sosial, yang menargetkan individu yang memegang informasi kunci, serangan rantai pasokan dirancang bukan untuk menangkap pengguna eceran secara acak tetapi para pengembang. Mereka adalah orang-orang yang memiliki file dompet, kunci SSH, token GitHub, kredensial cloud, dan akses produksi pada mesin yang sama yang mereka gunakan untuk membangun alat kripto dan AI.

Socket tidak mengidentifikasi korban atau dana yang dicuri, namun menyatakan bahwa paket-paket tersebut aktif di npm, PyPI, dan Crates.io serta mengandung payload yang dapat mencuri data dompet, mengambil kredensial, menguji token AWS dan GitHub, serta meninggalkan berkas untuk menjaga akses tetap aktif.

Paket-paket yang diprogram dalam JavaScript, Python, dan Rust disamarkan sebagai alat bantu pengembang, pemindai keamanan, alat dompet, utilitas Solidity, paket prompt AI, serta alat bantu build Sui atau Move.

Membosankan berdasarkan desain

Nama-nama tersebut sengaja dibuat membosankan. Paket-paket diberi nama "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard," "move-compiler-tools," dan "llm-context-compressor," yang tampak seperti jenis utilitas kecil yang mungkin dipasang oleh pengembang kripto atau AI tanpa banyak pertimbangan.

Setelah terpasang, bagaimanapun, payload mencoba menarik jauh lebih banyak daripada data paket.

Dalam paket npm, malware tersebut mencari kunci pribadi, kata sandi, token GitHub, dan login cloud di mesin pengembang. Malware ini juga menguji beberapa kredensial yang dicuri, mencoba untuk masuk ke sistem lain melalui kunci SSH, serta meninggalkan file yang dapat menjaga infeksi tetap aktif.

Kunci SSH adalah berkas masuk yang digunakan pengembang untuk mengakses server, repositori kode, dan mesin lainnya. Jika dicuri, kunci tersebut dapat memungkinkan penyerang berpindah dari satu laptop yang telah dikompromikan ke infrastruktur perusahaan yang lebih luas.

Serangan tersebut juga menggunakan file seperti .cursorrules dan claude.md, yang memungkinkan pengembang memberikan instruksi khusus proyek kepada alat pengkodean AI. Socket menyatakan bahwa kampanye tersebut menanam instruksi tersembunyi menggunakan karakter Unicode tanpa lebar, yang diduga berupaya membuat sesi asisten AI di masa depan menjalankan “pemindaian keamanan” palsu yang mengumpulkan dan mengekstrak rahasia.

Hal tersebut mengubah serangan dari pencuri paket biasa menjadi sesuatu yang lebih mirip malware lingkungan pengembangan. Instalasi paket hanyalah langkah pertama, dengan target sebenarnya adalah workstation, seperti dompet digital, repositori, data browser, kunci cloud, akses SSH, dan alat pengkodean AI apa pun yang dibaca berikutnya.

Paket Rust menggunakan skrip build.rs berbahaya yang dijalankan selama proses kompilasi, menargetkan pengembang sui dan move. Paket PyPI mengeksekusi JavaScript jarak jauh saat impor. Paket di npm menggunakan hook postinstall.

Socket mengatakan bahwa mereka melaporkan paket-paket tersebut ke registri yang terdampak dan mengklasifikasikan paket kampanye tersebut sebagai berbahaya. Perusahaan juga memperingatkan bahwa pelaku membuka pull request ke proyek AI dan pengembang, mencoba menambahkan file .cursorrules dan CLAUDE.md melalui jalur kontribusi open-source yang biasa.