Notebookcheck Logo

TrapDoor se propuso envenenar las herramientas de codificación de la IA

Paquetes maliciosos detectados en npm, PyPI y Crates.io en la campaña de la cadena de suministro de TrapDoor.
ⓘ www.magnific.com
Paquetes maliciosos detectados en npm, PyPI y Crates.io en la campaña de la cadena de suministro de TrapDoor.
TrapDoor planta 34 paquetes maliciosos en npm, PyPI y Crates.io dirigidos a desarrolladores de cripto e IA para robar carteras, claves SSH y credenciales de la nube.
Desktop Workstation Security Software Laptop / Notebook Hack / Data Breach

Treinta y cuatro paquetes maliciosos. Tres registros. Socket Security nombró públicamente la campaña el 25 de mayo de 2026. La operación, cuyo nombre en clave es TrapDoor, dejó sus primeros rastros el 19 de mayo, y la oleada principal llegó el 22 de mayo a las 20:20 UTC. En el momento en que Socket fue publicado, 384 versiones habían sido empujadas a través de npm, PyPI, y Crates.io.

Qué roba TrapDoor y cómo funciona

El primer paquete confirmado fue eth-security-auditor en PyPI. Docenas le siguieron rápidamente a través de los tres registros desde un grupo de cuentas trabajando en ráfagas. La nomenclatura es deliberada: prompt-engineering-toolkit, defi-threat-scanner, wallet-security-checker, solidity-deploy-guard. Cada uno pasa por una utilidad rutinaria en los flujos de trabajo de criptografía, DeFi, Solana o IA. La carga útil es consistente en las 384 versiones: monederos criptográficos, claves SSH, credenciales de la nube, tokens de AWS y GitHub, datos del navegador y variables de entorno.

Los paquetes Npm dejan caer trap-core.js a través de ganchos postinstalación. Valida los tokens robados contra los puntos finales en vivo de AWS y GitHub e indaga a través de trabajos cron, systemd, ganchos Git y SSH. Los paquetes PyPI se disparan al importarse, obteniendo una carga útil JavaScript de un dominio GitHub Pages controlado por el atacante, alojado externamente para que el atacante pueda actualizarlo sin tocar PyPI. Los paquetes de Crates.io utilizan un script build.rs, localizan almacenes de claves locales y envían datos cifrados con XOR a Gists de GitHub. El tiempo medio de detección de Socket fue de cinco minutos y 27 segundos. El tiempo del fin de semana fue intencionado.

La amenaza de codificación AI

TrapDoor también planta archivos .cursorrules y CLAUDE.md en los repositorios objetivo, ocultando instrucciones dentro de caracteres Unicode de ancho cero. Un asistente de codificación de IA que lea esos archivos ve un análisis de seguridad rutinario. Al ejecutarlo se exfiltran secretos de la máquina local.

El atacante abrió pull requests contra BrowserUse, LangChain y LangFlow para probar si esos archivos sobrevivirían a una revisión normal del código. Si se fusionan, cada desarrollador que abra el repositorio con una herramienta de codificación de IA se convierte en un objetivo. La superficie de ataque es el editor, no el registro.

Para saber cómo las herramientas para desarrolladores se convirtieron en la principal superficie de ataque en 2026, consulte nuestra cobertura de la Brecha de extensión de VS Code que afectó a GitHub, OpenAI y Mistral AI:

Google LogoAdd as a preferred source on Google
Mail Logo

Artículos relacionados

> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2026 05 > TrapDoor se propuso envenenar las herramientas de codificación de la IA
Darryl Linington, 2026-05-26 (Update: 2026-05-26)