El próximo gran exploit de DeFi comenzará antes de que se implemente el código
La divulgación de TrapDoor por parte de Socket el 24 de mayo encontró más de 34 paquetes maliciosos y más de 384 versiones relacionadas repartidas en npm, PyPI y Crates.io, cada una dirigida a los desarrolladores que crean y mantienen protocolos y las credenciales que gobiernan el acceso a los sistemas que los rodean.
Lo que TrapDoor construyó es una ruta desde la máquina comprometida de un único desarrollador hasta los repositorios, canalizaciones de CI/CD, cuentas en la nube y claves de implementación que gobiernan cómo los protocolos llegan a la red principal y se mantienen actualizados una vez implementados.
El informe de Socket confirma el robo de credenciales y la exposición de la infraestructura como el alcance documentado de la campaña, dejando los exploits en la cadena como la consecuencia inferida.
Un diagrama de flujo de seis etapas muestra cómo un paquete malicioso pasa del compromiso de la máquina del desarrollador al robo de credenciales para poner en riesgo los fondos de los usuarios.
Los desarrolladores de la superficie de ataque no auditan
La campaña entregó cargas útiles a través de flujos de trabajo de desarrolladores normales, como paquetes npm que ejecutan código malicioso a través de enlaces posteriores a la instalación, paquetes PyPI que activan cargas útiles al importar mientras recuperan JavaScript remoto y cajas Rust que ejecutan scripts build.rs durante la compilación.
El comportamiento normal de los desarrolladores es la superficie de ataque, ya que ninguna de estas rutas de ejecución requiere nada más que la instalación de un paquete, una importación o un comando de compilación.
En el entorno de un protocolo activo, cualquiera de esas clases de credenciales puede representar un camino hacia los fondos de los usuarios que ninguna auditoría de contratos inteligentes examina jamás.
Socket enmarcó explícitamente las claves SSH robadas como habilitantes para el movimiento lateral, y las credenciales de nube y GitHub como repositorios expuestos, sistemas CI/CD, paquetes privados y entornos de implementación.
Esa cadena, que comprende paquetes maliciosos, compromiso de desarrolladores, robo de credenciales, acceso a repositorios y a la nube, y actualizaciones maliciosas, describe cómo puede surgir un exploit DeFi sin una sola línea de Solidity vulnerable.
La inyección de instrucciones de IA
Socket descubrió que la campaña TrapDoor intentó colocar instrucciones ocultas dentro de archivos como .cursorrules y CLAUDE.md, que son archivos de configuración que los asistentes de codificación de IA como Cursor y Claude Code leen para comprender cómo comportarse dentro de un proyecto.
Las instrucciones inyectadas emplearon técnicas Unicode ocultas para dirigir los flujos de trabajo asistidos por IA hacia el descubrimiento y la exfiltración de secretos.
Socket también encontró solicitudes de extracción enviadas a proyectos de herramientas de desarrollo e inteligencia artificial que intentaban introducir archivos de instrucciones bajo etiquetas que suenan benignas.
El objetivo era el asistente de IA que lee el repositorio, genera código y opera con cualquier contexto que proporcionen los archivos del proyecto.
Si los atacantes manipulan silenciosamente ese contexto mediante instrucciones Unicode ocultas, el flujo de trabajo asistido por IA se convierte en un mecanismo de exfiltración.
Un patrón más amplio
SafeDep documentó una campaña del 11 de mayo que comprometió más de 170 paquetes npm y dos paquetes PyPI, alcanzando 404 versiones maliciosas vinculadas a TanStack, Mistral SDK, UiPath, OpenSearch y Guardrails AI.
StepSecurity describió cinco ataques importantes a la cadena de suministro en 48 horas en extensiones de VS Code, GitHub Actions, npm y PyPI, incluida una extensión de VS Code envenenada con 2,2 millones de instalaciones y paquetes Microsoft PyPI troyanizados.
Sonatype informó de más de 454.600 nuevos paquetes maliciosos en 2025, lo que eleva el recuento acumulado a más de 1,233 millones, y los paquetes maliciosos ahora sirven como puntos de entrada para intrusiones más amplias.
Campaña/fuente
Sincronización
Ecosistema afectado
Escala citada
Por qué es importante para esta historia
Trampilla / Enchufe
mayo 2026
npm, PyPI, cajas.io
Más de 34 paquetes maliciosos; Más de 384 versiones/artefactos
Muestra que los desarrolladores de criptomonedas son atacados antes de que el código llegue a la red principal
Campaña SafeDep
11 de mayo de 2026
NPM, PyPI
Paquetes de más de 170 npm; 2 paquetes PyPI; 404 versiones maliciosas
Muestra paquetes maliciosos que se propagan a través de las principales dependencias de los desarrolladores.
Ola de 48 horas de StepSecurity
mayo 2026
Código VS, Acciones de GitHub, npm, PyPI
5 ataques importantes; una extensión de VS Code tuvo 2,2 millones de instalaciones
Muestra a los atacantes moviéndose a través de múltiples capas de herramientas de desarrollo.
Datos de Sonatype 2025
2025
Principales ecosistemas de código abierto
Más de 454.600 nuevos paquetes maliciosos; 1.233M+ acumulados
Muestra que los paquetes maliciosos se convierten en un canal de intrusión industrializado
El patrón de ataque del plano de control ya ha resultado en pérdidas de DeFi mensurables utilizando métodos estructuralmente idénticos.
El incidente de Resolv en marzo fue un exploit de 23 millones de dólares en el que el código implementado funcionó exactamente como se diseñó, pero la infraestructura fuera de la cadena y las claves confiables fallaron.
En abril de 2026, Drift perdió 285 millones de dólares cuando los atacantes combinaron ingeniería social de larga duración con firmas de administrador válidas.
KelpDAO perdió aproximadamente 292 millones de dólares el mismo mes cuando los atacantes comprometieron la infraestructura RPC y DVN fuera de la cadena.
En cada caso, el punto de falla fue operativo: infraestructura confiable, sistemas fuera de la cadena y capas de acceso administrativo que rodean el contrato.
Donde se resuelve el riesgo
Si los paquetes estilo TrapDoor atraen una detección rápida, ya que el sistema de Socket registró una detección promedio de 5 minutos y 56 segundos, y los equipos r