Uma nova campanha coordenada de ataque à cadeia de suprimentos de software de ecossistema cruzado tem como alvo npm, PyPI e Crates.io para distribuir malware que rouba credenciais. A campanha, codinome TrapDoor, abrange mais de 34 pacotes maliciosos em mais de 384 versões.
Descoberta e escopo
A atividade mais antiga foi registrada em 22 de maio de 2026, às 20:20 UTC, com novos pacotes publicados nos ecossistemas em ondas a partir de um cluster de contas comprometidas. O ataque visa distribuir malware de roubo de credenciais através de múltiplos repositórios de pacotes populares.
Vetor e exploração
O ataque explora a confiança inerente nas dependências de código aberto. Ao comprometer pacotes legítimos ou criar novos pacotes maliciosos que imitam bibliotecas populares, os atacantes conseguem injetar código malicioso que é executado automaticamente quando os desenvolvedores instalam as dependências.
Impacto e alcance
Como o ataque abrange npm (JavaScript/Node.js), PyPI (Python) e Crates.io (Rust), o impacto potencial é amplo, afetando desenvolvedores e organizações que utilizam essas linguagens e ecossistemas. A natureza coordenada do ataque sugere um grupo de ameaças organizado e sofisticado.
Medidas de mitigação recomendadas
Desenvolvedores e equipes de segurança devem revisar as dependências de seus projetos e verificar a integridade dos pacotes instalados. É crucial manter ferramentas de análise de segurança de software (SAST/DAST) atualizadas e monitorar logs de build para atividades suspeitas.
Comparação com ataques anteriores
Este ataque lembra campanhas anteriores de envenenamento de pacotes, mas a escala multi-ecossistema e a sofisticação da distribuição tornam a campanha TrapDoor particularmente preocupante para a segurança do desenvolvimento de software moderno.
O que os CISOs devem fazer imediatamente
Organizações devem revisar seus processos de aprovação de dependências e considerar a implementação de políticas de assinatura de pacotes. A conscientização sobre os riscos da cadeia de suprimentos deve ser reforçada entre as equipes de desenvolvimento.