Hackers utilizan Claude y Cursor para vaciar criptomonedas

Una nueva campaña de malware llamada ‘TrapDoor’ representa una seria amenaza para los desarrolladores en los sectores de criptomonedas e inteligencia artificial. La empresa de ciberseguridad Socket advierte que el ataque busca robar criptomonedas, contraseñas, cuentas en la nube y claves API a través de paquetes de software que millones de programadores utilizan a diario.

Hasta ahora se han descubierto docenas de paquetes maliciosos y cientos de variantes. La campaña destaca por un elemento notable: TrapDoor también intenta engañar a los asistentes de código de IA como Claude y Cursor para extraer datos de las carteras.

Cómo se propaga TrapDoor

TrapDoor utiliza un ataque conocido como de cadena de suministro. Los hackers ocultan malware en paquetes de software que los programadores emplean durante el desarrollo de aplicaciones.

El software malicioso se encontró en tres grandes plataformas de desarrollo: npm para desarrollo web y JavaScript, PyPI para aplicaciones de Python e inteligencia artificial, y Crates para el lenguaje de programación Rust. Los paquetes tienen nombres que hacen referencia a software de IA, desarrollo de blockchain o herramientas de seguridad, lo que les da apariencia de ser herramientas legítimas de desarrollo y hace que la infección sea difícil de detectar.

Qué roba el malware

Una vez instalado, TrapDoor busca criptomonedas, cuentas en la nube, claves API, tokens de GitHub y claves SSH. Monederos populares como MetaMask, Coinbase Wallet, Binance Wallet, Solana, Sui y Aptos están específicamente en la lista de objetivos. Además, el malware recopila datos del navegador Brave.

Para los desarrolladores de criptomonedas, esto representa una amenaza directa. Una clave privada o una frase semilla robada puede significar a menudo la pérdida inmediata de todos los fondos en la cartera.

Las herramientas de IA utilizadas como arma

El aspecto más destacado de la campaña es cómo TrapDoor abusa de los asistentes de código de IA. Según Ahmad Nassri, director técnico de Socket, el malware contiene instrucciones ocultas que intentan engañar a las herramientas de IA como Claude y Cursor. El malware solicita a estos asistentes realizar un escaneo de seguridad falso, lo que provoca la fuga de información sensible.

Además, la estructura de la campaña sugiere que los atacantes también utilizan IA para generar nuevas variantes de malware más rápidamente. Esto hace que TrapDoor sea más difícil de combatir, ya que las herramientas de seguridad tradicionales tienen dificultades para reconocer el código que evoluciona rápidamente.

GitHub jugó un papel en la propagación

Los investigadores señalan que GitHub fue utilizado para distribuir los paquetes maliciosos. Los hackers crearon repositorios con documentación generada automáticamente, herramientas de desarrollo y código de malware parcialmente operativo.

Esta advertencia llega poco después de que GitHub informara de un incidente de seguridad en el que hackers obtuvieron acceso no autorizado a repositorios internos a través del dispositivo comprometido de un empleado.

Qué pueden hacer los desarrolladores

Los ciberdelincuentes se están enfocando cada vez más en los desarrolladores de software en las industrias de criptomonedas e inteligencia artificial, ya que este grupo a menudo posee datos valiosos como carteras, claves de servidores y acceso a la nube.

Los expertos en seguridad aconsejan verificar siempre cuidadosamente los paquetes de software antes de instalarlos. Además, es prudente usar solo paquetes de fuentes verificadas, eliminar inmediatamente el software sospechoso y mantener las carteras de criptomonedas con grandes saldos preferiblemente en un monedero de hardware.