Trapdoor kampány
A Socket kutatása szerint a Trapdoor kampány során több rosszindulatú npm-, PyPI- és Rust Crates csomagot publikáltak, amelyek kriptovaluta-fejlesztői eszközöknek álcázták magukat, valójában azonban wallet credentialöket és privát kulcsokat loptak. A támadók elsősorban Solana-, Ethereum- és Web3-fejlesztőket céloztak, miközben a csomagok legitim blockchain utility librarynek vagy developer toolnak tűntek.
A malware-ek technikailag fejlett obfuszkációt használtak, Base64-kódolt komponenseket, dinamikusan összefűzött API-hívásokat és postinstall scriptet alkalmaztak a detekció megnehezítésére. A payloadok mnemonic seed phrase-eket, private key-eket, .env fájlokat és cloud credentialöket gyűjtöttek, majd Telegram botokon, Google Analytics endpointokon vagy saját C2 infrastruktúrán keresztül exfiltrálták az adatokat.
