🔓 TrapDoor — 34 вредоносных пакета на npm и PyPI бьют по разработчикам крипты до того как код деплоится
Socket
раскрыли 24 мая кампанию TrapDoor — 34 малварных пакета и 384 связанных версий в npm, PyPI и Crates.io. Цель — не on-chain протоколы, а разработчики которые их пишут. Кампания крадёт GitHub-токены, SSH-ключи, cloud credentials, wallet seed, переменные окружения. Атака идёт выше по цепочке — до того как уязвимый код вообще попадает в production.
Что внутри ситуации?
Классические DeFi-эксплойты били по контрактам после деплоя. TrapDoor работает на стадии разработки — заражённый пакет в зависимостях, разработчик собирает проект, малварь снимает приватные ключи и токены с его машины. Дальше атакующий имеет credentials самих maintainer'ов: правки в репозиторий, доступ в команды Discord, control panel облака. Это supply chain атака уровня SolarWinds, но в крипто-окружении.
Кстати, прецеденты были — атака на ledgerhq/connect-kit в декабре 2023 шла по похожей логике. TrapDoor показывает что pattern масштабируется и автоматизируется.
Что отсюда забрать?
Если ты сам деплоишь контракты или работаешь с протоколами — аудит зависимостей через Socket / Snyk / npm audit становится обязательной частью CI. Если просто пользователь — последствия для тебя проявятся через эксплойты протоколов которые работают с заражёнными библиотеками. Лучшая защита — multi-sig вместо single-key custody и hardware wallet для крупных сумм.
#Security #DeFi
📈
ByBit: Бонус до $30,000 — мой выбор для трейдинга!
📲 Мои каналы:
Youtube •
X •
LinkedIn •
Telegram
