Una nuova campagna di attacco alla supply chain software sta colpendo in modo coordinato tre ecosistemi fondamentali per gli sviluppatori: npm, PyPI e Crates.io, distribuendo malware progettato per rubare credenziali e segreti di sviluppo. L’operazione, nota come TrapDoor, ha diffuso oltre 34 pacchetti malevoli attraverso più di 384 versioni pubblicate in ondate ravvicinate da account collegati tra loro, con attività osservate a partire dal 22 maggio 2026.
Il bersaglio principale sono sviluppatori e team che lavorano in ambiti crypto, DeFi, Solana e strumenti di intelligenza artificiale. I pacchetti si presentano come utility innocue per la sicurezza o la configurazione dell’ambiente, ma in realtà puntano a sottrarre vari tipi di informazioni sensibili come chiavi SSH, credenziali cloud, token di accesso, dati del browser, variabili di ambiente e persino wallet crypto. Questo tipo di attacco alla supply chain è particolarmente pericoloso perché sfrutta la fiducia nei registri open source e si inserisce nei normali flussi di installazione, importazione e build.
Dettagli dell’attacco su npm
Nel caso dei pacchetti npm è stato individuato un payload condiviso chiamato trap core js, che esegue scansioni alla ricerca di credenziali e segreti e tenta di validare token AWS e GitHub tramite chiamate API. Oltre al furto dati, il malware prova a muoversi lateralmente via SSH e a ottenere persistenza sul sistema modificando file e meccanismi tipici degli ambienti di sviluppo come Git hooks, shell hooks, cron, systemd e file di configurazione utilizzati da strumenti di coding assistito.
Dettagli dell’attacco su Crates.io (Rust)
Anche le crate Rust seguono una logica simile: cercano keystore locali, cifrano i dati con una chiave XOR hardcoded ed esfiltrano le informazioni tramite GitHub Gists. Un elemento critico è l’uso di build.rs, che permette l’esecuzione di codice malevolo durante la fase di compilazione, rendendo il rischio elevato per chi integra dipendenze in pipeline automatizzate.
Dettagli dell’attacco su PyPI (Python)
I pacchetti Python su PyPI puntano invece all’esecuzione automatica al momento dell’import. L’obiettivo è scaricare JavaScript da un dominio GitHub Pages controllato dagli attaccanti e avviarlo con node -e. Questa tecnica aumenta la flessibilità perché il payload remoto può essere aggiornato senza pubblicare una nuova release.
Tecniche insolite: file per ingannare assistenti AI
Un aspetto insolito è l’inserimento di file come cursorrules e CLAUDE.md con istruzioni nascoste pensate per ingannare assistenti AI e indurli a eseguire finte scansioni di sicurezza che portano alla scoperta ed esfiltrazione di segreti. Sono stati osservati anche tentativi di introdurre tali file tramite pull request in progetti popolari legati a AI e sviluppo, suggerendo un’estensione dell’attacco oltre i repository di pacchetti.