برنامج TrapDoor الخبيث يصيب 34 حزمة مطورين ويسرق مفاتيح التشفير والمحافظ
حددت شركة الأمن "Socket" هجومًا منسقًا على سلسلة التوريد في 22 مايو 2026. ووجد الباحثون 34 حزمة ضارة تمتد إلى 384 إصدارًا عبر npm وPyPI وCrates.io. استهدفت الحملة، المسماة TrapDoor، المطورين في مجال العملات المشفرة والتمويل اللامركزي (DeFi) والذكاء الاصطناعي (AI). ظهرت أقدم حزمة مؤكدة، eth-security-auditor@0.1.0، على PyPI في 22 مايو 2026 الساعة 20:20 بالتوقيت العالمي. قامت الحملة بتوزيع 21 حزمة عبر npm، وسبع على PyPI، وستة على Crates.io. استخدمت الحزم أسماء خادعة مثل مجموعة أدوات الهندسة السريعة، وصلابة نشر الحرس، وبرنامج مكافحة التهديدات.
تستخدم مفاتيح SSH والمحافظ وبيانات الاعتماد السحابية جميعها TargetTrapDoor طريقة تنفيذ مختلفة في كل سجل. في npm، قامت خطافات ما بعد التثبيت بتشغيل حمولة JavaScript مكونة من 1149 سطرًا تسمى trap-core.js. في PyPI، تم جلب الحزم وتنفيذها لبرنامج نصي عن بعد من صفحات GitHub عند الاستيراد. في Crates.io، قامت البرامج النصية الضارة build.rs بتصفية مخازن مفاتيح التشفير المحلية باستخدام تشفير XOR.
وتضمنت البيانات المسروقة مفاتيح Secure Shell (SSH) وبيانات المحفظة من Coinbase وBinance وSolana وSui وAptos وMetaMask. كانت بيانات الاعتماد السحابية، ورموز GitHub، وقواعد بيانات تسجيل الدخول للمتصفح، ومفاتيح واجهة برمجة التطبيقات (API) ضمن النطاق أيضًا. استهدف مكون Crates.io مطوري Sui وMove. لقد استخرج مفاتيح المحفظة من التخزين المحلي.
قام المهاجم بتحويل أدوات تشفير الذكاء الاصطناعي إلى أدوات لسرقة بيانات الاعتماد. قام المهاجم بتسميم ملفين لتكوين المشروع: .cursorrules، الذي يستخدمه محرر المؤشر، وCLAUDE.md، الذي يستخدمه مساعد التشفير Claude. قامت أحرف Unicode ذات العرض الصفري بإخفاء أوامر ضارة داخل كلا الملفين. عندما تقرأ أداة ترميز الذكاء الاصطناعي أيًا من الملفين، فإنها تنفذ ما يبدو أنه فحص أمني روتيني. قام المسح بمسح بيانات اعتماد المطور إلى البنية التحتية للمهاجم. قدمت الحملة أيضًا طلبات سحب مسمومة لمشاريع الذكاء الاصطناعي LangChain وMetaGPT وOpenHands.
"اختطاف مساعد الترميز الذي يعمل بالذكاء الاصطناعي"، 25 مايو 2026.
— أحمد نصري، الرئيس التنفيذي للتكنولوجيا، شركة سوكيت
اكتشف سوكيت جميع الحزم الـ 34 في أقل من ست دقائق، وقام سوكيت بوضع علامة على جميع الحزم الـ 34 في أقل من ست دقائق في المتوسط بعد نشر كل منها. أسرع اكتشاف فردي استغرق 58 ثانية. كان المهاجم يعمل من حساب GitHub واحد — ddjidd564 — يستضيف الحمولات على ddjidd564.github.io. وحملت الحملة العلامة الداخلية P-2024-001. لم يُبلغ المقبس عن أي عدد مؤكد لبيئات المطورين المصابة في وقت النشر. تلقى مشرفو التسجيل في npm وPyPI وCrates.io تقارير عن جميع الحزم الـ 34. يستخدم TrapDoor طريقة تنفيذ مختلفة في كل سجل. في npm، قامت خطافات ما بعد التثبيت بتشغيل حمولة JavaScript مكونة من 1149 سطرًا تسمى trap-core.js. في PyPI، تم جلب الحزم وتنفيذها لبرنامج نصي عن بعد من صفحات GitHub عند الاستيراد. في Crates.io، قامت البرامج النصية الضارة build.rs بتصفية مخازن مفاتيح التشفير المحلية باستخدام تشفير XOR.
وتضمنت البيانات المسروقة مفاتيح Secure Shell (SSH) وبيانات المحفظة من Coinbase وBinance وSolana وSui وAptos وMetaMask. كانت بيانات الاعتماد السحابية، ورموز GitHub، وقواعد بيانات تسجيل الدخول للمتصفح، ومفاتيح واجهة برمجة التطبيقات (API) ضمن النطاق أيضًا. استهدف مكون Crates.io مطوري Sui وMove. لقد استخرج مفاتيح المحفظة من التخزين المحلي.
قام المهاجم بتحويل أدوات تشفير الذكاء الاصطناعي إلى أدوات لسرقة بيانات الاعتماد. قام المهاجم بتسميم ملفين لتكوين المشروع: .cursorrules، الذي يستخدمه محرر المؤشر، وCLAUDE.md، الذي يستخدمه مساعد التشفير Claude. قامت أحرف Unicode ذات العرض الصفري بإخفاء أوامر ضارة داخل كلا الملفين. عندما تقرأ أداة ترميز الذكاء الاصطناعي أيًا من الملفين، فإنها تنفذ ما يبدو أنه فحص أمني روتيني. قام المسح بمسح بيانات اعتماد المطور إلى البنية التحتية للمهاجم. قدمت الحملة أيضًا طلبات سحب مسمومة لمشاريع الذكاء الاصطناعي LangChain وMetaGPT وOpenHands.
"اختطاف مساعد الترميز الذي يعمل بالذكاء الاصطناعي"، 25 مايو 2026.
— أحمد نصري، الرئيس التنفيذي للتكنولوجيا، شركة سوكيت
اكتشف سوكيت جميع الحزم الـ 34 في أقل من ست دقائق، وقام سوكيت بوضع علامة على جميع الحزم الـ 34 في أقل من ست دقائق في المتوسط بعد نشر كل منها. أسرع اكتشاف فردي استغرق 58 ثانية. كان المهاجم يعمل من حساب GitHub واحد — ddjidd564 — يستضيف الحمولات على ddjidd564.github.io. وحملت الحملة العلامة الداخلية P-2024-001. لم يُبلغ المقبس عن أي تأكيد