Plataformas de programação – A descoberta de uma campanha coordenada de ataque à cadeia de distribuição de software acendeu o alerta em comunidades de desenvolvimento ligadas a inteligência artificial, blockchain e contratos inteligentes. Batizada de TrapDoor, a operação comprometeu simultaneamente três dos principais repositórios de pacotes do mundo (npm, PyPI e Crates.io) com a distribuição de dezenas de bibliotecas maliciosas disfarçadas de ferramentas legítimas.
Segundo pesquisadores da empresa Socket, mais de 34 pacotes foram publicados em mais de 384 versões diferentes ao longo do fim de semana de 22 de maio de 2026. Os nomes escolhidos imitavam utilitários comuns do ambiente de desenvolvimento, incluindo supostos verificadores de segurança, scanners de risco e ferramentas de auditoria voltadas ao mercado de criptomoedas.
Na prática, porém, os pacotes instalavam malware nos computadores das vítimas. O objetivo era coletar informações sensíveis dos desenvolvedores, incluindo chaves SSH, credenciais da AWS, tokens do GitHub, senhas salvas em navegadores, variáveis de ambiente, chaves de API e carteiras digitais ligadas às redes Sui, Solana e Aptos.
LEIA: UE reage à ofensiva de Starlink e Amazon por espectro de satélites
O caso é mais um episódio envolvendo ataques de supply chain, estratégia em que criminosos contaminam ferramentas utilizadas rotineiramente por programadores. Em vez de invadir diretamente um sistema específico, os invasores exploram a confiança depositada em bibliotecas e dependências amplamente usadas no desenvolvimento de software.
A campanha utilizou abordagens diferentes em cada ecossistema. No npm, os pacotes acionavam scripts automaticamente após a instalação, executando um arquivo chamado trap-core.js. O código, com mais de mil linhas, não apenas coletava dados, mas também verificava se as credenciais roubadas ainda estavam ativas por meio das APIs da AWS e do GitHub.
Já no PyPI, o malware era ativado quando a biblioteca era importada no código do projeto. Nesse momento, um payload JavaScript era baixado de um servidor externo e executado localmente. A técnica permitia atualizar o código malicioso sem necessidade de publicar novas versões dos pacotes.
No Crates.io, repositório voltado à linguagem Rust, os criminosos exploraram o arquivo build.rs, executado automaticamente durante o processo de compilação. Isso fazia com que o malware pudesse rodar antes mesmo de qualquer teste da biblioteca. Os dados coletados eram criptografados e enviados para o GitHub Gists, plataforma legítima de compartilhamento de código.
Um dos elementos mais incomuns da operação foi a tentativa de manipular assistentes de programação baseados em inteligência artificial. Os pacotes criavam arquivos como .cursorrules e CLAUDE.md dentro dos projetos das vítimas. Esses arquivos normalmente servem para orientar ferramentas de IA sobre regras e padrões do projeto.
Os invasores, porém, inseriram instruções ocultas usando caracteres Unicode invisíveis. A intenção era induzir os assistentes a executar falsas “auditorias de segurança” que, na verdade, coletavam e transmitiam dados sensíveis para servidores controlados pelos criminosos.
Para ampliar o alcance da técnica, o responsável pela campanha também enviou pull requests para projetos populares ligados à inteligência artificial, incluindo LangChain, LangFlow e browser-use. As alterações sugeriam adicionar arquivos maliciosos sob o argumento de documentar boas práticas de desenvolvimento.
A Socket afirmou que os primeiros pacotes foram detectados poucos minutos após a publicação. A relação entre os três ecossistemas só foi confirmada durante a análise dos pacotes no Crates.io, quando pesquisadores identificaram semelhanças na infraestrutura e no comportamento dos scripts utilizados na campanha. Todos os pacotes envolvidos foram classificados como maliciosos e reportados às plataformas afetadas.
Junte cashback e transfira para sua conta com a Benefícios Rede Bee!
A Bee Fenati – a rede social dos profissionais de TI de todo o Brasil – segue em expansão para garantir aos seus usuários cada vez mais benefícios. Agora a plataforma conta com a Benefícios Rede Bee, que reúne descontos em dezenas de grandes marcas, com muitas delas oferecendo cashback, ou seja, o retorno de um valor da sua compra que poderá ser transferido direto para sua conta! (Saiba mais aqui)
Baixe o aplicativo nas lojas App Store e Google Store e aproveite agora! A Bee Fenati reúne em um único ambiente ofertas em áreas como educação, compras, viagens, lazer, serviços, tecnologia e muito mais. Dentre as marcas parceiras estão Magalu, Renner, Drogasil, C&A, Dell, Casas Bahia, Vivo, Petz, Drogaria São Paulo, e muito mais!
Além de poderem aproveitar os descontos oferecidos pelas marcas parceiras, os usuários da plataforma receberão de volta um percentual a cada compra que realizarem em parceiros que oferecem o cashback.
Este valor ficará em uma carteira digital dentro da plataforma da Benefícios Rede Bee e, a partir de R$ 20 reais acumulados em cashback, o trabalhador pode transferir o dinheiro direto para sua conta bancária!
Na prática, a ferramenta permitirá que sócios e contribuintes dos sindicatos filiados à Fenati (Federação Nacional dos Trabalhadores em Tecnologia da Informação) possam ZERAR o valor da sua contribuição assistencial e associativa!
Atualmente, o valor da contribuição é de R$ 32,50 por mês para sócios e R$ 35 por mês para contribuintes, ou seja, é possível recuperar todo esse valor e ainda acumular muito mais – tudo isso contribuindo para fortalecer a categoria e transformando as compras e serviços do cotidiano em ganho real.
(Com informações de Tecmundo)
(Foto: Reprodução/Magnific)
