{"id":15611,"date":"2026-05-26T20:32:46","date_gmt":"2026-05-26T20:32:46","guid":{"rendered":"https:\/\/satoshibrother.com\/it\/nuovo-malware-trapdoor-ruba-portafogli-crypto-solana-defi-e-sviluppatori-ai-sotto-minaccia\/"},"modified":"2026-05-26T20:32:46","modified_gmt":"2026-05-26T20:32:46","slug":"nuovo-malware-trapdoor-ruba-portafogli-crypto-solana-defi-e-sviluppatori-ai-sotto-minaccia","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/it\/nuovo-malware-trapdoor-ruba-portafogli-crypto-solana-defi-e-sviluppatori-ai-sotto-minaccia\/","title":{"rendered":"Nuovo malware ‘TrapDoor’ ruba portafogli crypto: Solana, DeFi e sviluppatori AI sotto minaccia"},"content":{"rendered":"

Avviso di Sicurezza Critico: Attacco alla Catena di Fornitura Cross-Registry<\/h2>\n

Il laboratorio di cybersecurity SlowMist<\/strong> ha emesso un avviso di sicurezza critico con codice SM-2026-352284<\/strong>. \u00c8 stato rilevato un attacco attivo alla catena di fornitura cross-registry<\/strong> che prende di mira i creatori di prodotti Web3 e AI. Gli hacker hanno iniettato pi\u00f9 di 34 pacchetti dannosi e 384 versioni associate<\/strong> nei principali repository, inclusi npm, PyPI e Crates.io<\/em>, colpendo direttamente gli sviluppatori negli ecosistemi Solana, DeFi e AI<\/strong>.<\/p>\n

L’incidente si verifica sullo sfondo del record negativo di aprile, quando il settore DeFi ha subito perdite senza precedenti di 635 milioni di dollari in 28 attacchi<\/strong>. Sebbene la portata degli exploit diretti ai smart contract sia diminuita a maggio, la telemetria di SlowMist mostra un cambiamento fondamentale nelle tattiche degli attaccanti<\/strong>.<\/p>\n

Evoluzione delle Tattiche di Attacco: Dal Server ai Dispositivi Personali<\/h2>\n

Gli attori minacciosi hanno spostato il loro focus dagli attacchi ai server protetti al compromesso nascosto dei dispositivi personali degli ingegneri<\/em>. L’analisi di SlowMist ha rivelato che TrapDoor<\/strong> \u00e8 progettato per il compromesso completo delle workstation degli sviluppatori<\/strong>.<\/p>\n

Il malware ruba:<\/p>\n

    \n
  • Portafogli crypto<\/li>\n
  • Token cloud come credenziali AWS e GitHub<\/li>\n
  • Chiavi di accesso<\/li>\n<\/ul>\n

    Tutti questi dati vengono inviati a indirizzi controllati dagli attaccanti<\/strong>. Concettualmente, lo schema replica la logica del noto worm npm “Mini Shai-Hulud”<\/em>.<\/p>\n

    Meccanismi di Persistenza e Mascheramento<\/h2>\n

    Per mantenere la persistenza nascosta nel sistema<\/strong>, il payload si scrive direttamente nei file di configurazione degli assistenti AI come .cursorrules<\/strong> e CLAUDE.md<\/strong>, mentre si nasconde anche all’interno di Git hook e script di automazione<\/strong>.<\/p>\n

    Nei repository, il software \u00e8 mascherato come plugin AI e utility di build per Sui e Move<\/em>. L’incidente \u00e8 aggravato dalla tendenza del “vibe coding”<\/strong>, dove gli ingegneri assemblano progetti attraverso prompt e collegano ciecamente dozzine di librerie annidate. Di conseguenza, gli agenti AI scaricano automaticamente codice dannoso su macchine dove gli editor intelligenti hanno accesso diretto ai file di configurazione locali<\/strong>.<\/p>\n

    \n

    Data la criticit\u00e0 della minaccia, SlowMist istruisce i team a rimuovere immediatamente i pacchetti interessati, isolare i sistemi infetti, preservare i log e avviare un protocollo di bonifica in tre fasi.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

    Avviso di Sicurezza Critico: Attacco alla Catena di Fornitura Cross-Registry Il laboratorio di cybersecurity SlowMist ha emesso un avviso di sicurezza critico con codice SM-2026-352284. \u00c8 stato rilevato un attacco attivo alla catena di fornitura cross-registry che prende di mira i creatori di prodotti Web3 e AI. Gli hacker hanno iniettato pi\u00f9 di 34 pacchetti dannosi e 384 versioni associate nei principali repository, inclusi npm, PyPI e Crates.io, colpendo direttamente gli sviluppatori negli ecosistemi Solana, DeFi e AI. L’incidente si verifica sullo sfondo del record negativo di aprile, quando il settore DeFi ha subito perdite senza precedenti di 635 milioni<\/p>\n","protected":false},"author":3,"featured_media":15610,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[556,487,9828,12,1338,65,2935,2732,115,2238,221],"class_list":["post-15611","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-ai","tag-aws","tag-claude","tag-defi","tag-github","tag-hack","tag-movement","tag-slowmist","tag-solana","tag-sui","tag-web3"],"yoast_description":"SlowMist avverte del malware 'TrapDoor' che prende di mira sviluppatori Solana, DeFi e AI attraverso pacchetti dannosi su npm, PyPI e Crates.io, rubando portafogli crypto e credenziali cloud.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/15611","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/comments?post=15611"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/posts\/15611\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media\/15610"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/media?parent=15611"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/categories?post=15611"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/it\/wp-json\/wp\/v2\/tags?post=15611"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}