Der nächste große DeFi-Exploit wird gestartet, bevor der Code bereitgestellt wird

Bei der Enthüllung von TrapDoor am 24. Mai durch Socket wurden mehr als 34 bösartige Pakete und über 384 verwandte Versionen gefunden, die über npm, PyPI und Crates.io verteilt sind und jeweils auf die Entwickler abzielen, die Protokolle erstellen und verwalten, sowie auf die Anmeldeinformationen, die den Zugriff auf die sie umgebenden Systeme steuern.

Was TrapDoor erstellt hat, ist eine Route von der kompromittierten Maschine eines einzelnen Entwicklers zu den Repositorys, CI/CD-Pipelines, Cloud-Konten und Bereitstellungsschlüsseln, die steuern, wie Protokolle das Mainnet erreichen und nach der Bereitstellung aktualisiert bleiben.

Der Bericht von Socket bestätigt den Diebstahl von Zugangsdaten und die Gefährdung der Infrastruktur als den dokumentierten Umfang der Kampagne und lässt On-Chain-Exploits als abgeleitete Konsequenz übrig.

Ein sechsstufiges Flussdiagramm zeigt, wie sich ein bösartiges Paket von der Kompromittierung des Entwicklerrechners über den Diebstahl von Anmeldedaten bis hin zur Gefährdung von Benutzergeldern entwickelt.

Die Angriffsflächenentwickler prüfen nicht

Die Kampagne lieferte Payloads über gewöhnliche Entwickler-Workflows, wie zum Beispiel npm-Pakete, die Schadcode über Postinstall-Hooks ausführten, PyPI-Pakete, die beim Import Payloads auslösten, während sie Remote-JavaScript abriefen, und Rust-Crates, die während der Kompilierung build.rs-Skripte ausführten.

Das normale Entwicklerverhalten stellt die Angriffsfläche dar, da keiner dieser Ausführungspfade etwas anderes erfordert als eine Paketinstallation, einen Import oder einen Build-Befehl.

In der Umgebung eines Live-Protokolls kann jede dieser Anmeldeinformationsklassen einen Weg zu Benutzergeldern darstellen, den kein Smart-Contract-Audit jemals untersucht.

Socket hat die gestohlenen SSH-Schlüssel ausdrücklich so dargestellt, dass sie laterale Bewegungen ermöglichen, und Cloud- und GitHub-Anmeldeinformationen als Offenlegung von Repositorys, CI/CD-Systemen, privaten Paketen und Bereitstellungsumgebungen.

Diese Kette, bestehend aus bösartigem Paket, Kompromittierung von Entwicklern, Diebstahl von Anmeldeinformationen, Repo- und Cloud-Zugriff und bösartigem Update, beschreibt, wie ein DeFi-Exploit ohne eine einzige Zeile anfälliger Solidity entstehen kann.

Die KI-Anweisungsinjektion

Socket hat herausgefunden, dass die TrapDoor-Kampagne versucht hat, versteckte Anweisungen in Dateien wie .cursorrules und CLAUDE.md einzuschleusen, bei denen es sich um Konfigurationsdateien handelt, die KI-Codierungsassistenten wie Cursor und Claude Code lesen, um zu verstehen, wie sie sich innerhalb eines Projekts verhalten sollen.

Die injizierten Anweisungen nutzten versteckte Unicode-Techniken, um KI-gestützte Arbeitsabläufe in Richtung geheimer Entdeckung und Exfiltration zu steuern.

Socket fand auch Pull-Requests, die an KI- und Entwickler-Tooling-Projekte gesendet wurden, die versuchten, Anweisungsdateien unter harmlos klingenden Bezeichnungen einzuführen.

Das Ziel war der KI-Assistent, der das Repo liest, Code generiert und mit dem Kontext arbeitet, den die Projektdateien bereitstellen.

Wenn Angreifer diesen Kontext stillschweigend durch versteckte Unicode-Anweisungen manipulieren, wird der KI-gestützte Workflow zu einem Exfiltrationsmechanismus.

Ein breiteres Muster

SafeDep dokumentierte eine Kampagne vom 11. Mai, bei der mehr als 170 npm-Pakete und zwei PyPI-Pakete kompromittiert wurden und 404 bösartige Versionen im Zusammenhang mit TanStack, Mistral SDK, UiPath, OpenSearch und Guardrails AI betroffen waren.

StepSecurity beschrieb innerhalb von 48 Stunden fünf große Supply-Chain-Angriffe auf VS Code-Erweiterungen, GitHub Actions, npm und PyPI, darunter eine vergiftete VS Code-Erweiterung mit 2,2 Millionen Installationen und trojanisierten Microsoft PyPI-Paketen.

Sonatype meldete im Jahr 2025 mehr als 454.600 neue Schadpakete, was einer Gesamtzahl von über 1,233 Millionen entspricht, wobei Schadpakete nun als Einstiegspunkte für umfassendere Einbrüche dienen.

Kampagne/Quelle

Timing

Ökosystem betroffen

Skala zitiert

Warum es für diese Geschichte wichtig ist

Falltür / Steckdose

Mai 2026

npm, PyPI, Crates.io

Über 34 Schadpakete; Über 384 Versionen/Artefakte

Zeigt, dass Krypto-Entwickler ins Visier genommen werden, bevor der Code das Mainnet erreicht

SafeDep-Kampagne

11. Mai 2026

npm, PyPI

Über 170 NPM-Pakete; 2 PyPI-Pakete; 404 bösartige Versionen

Zeigt bösartige Pakete an, die sich über gängige Entwicklerabhängigkeiten verbreiten

StepSecurity 48-Stunden-Welle

Mai 2026

VS-Code, GitHub-Aktionen, npm, PyPI

5 schwere Angriffe; Eine VS-Code-Erweiterung hatte 2,2 Millionen Installationen

Zeigt Angreifer, die sich über mehrere Ebenen von Entwicklertools bewegen

Sonatype 2025-Daten

2025

Wichtige Open-Source-Ökosysteme

Über 454.600 neue Schadpakete; 1,233 Millionen+ kumulativ

Zeigt, dass bösartige Pakete zu einem industrialisierten Einbruchskanal werden

Das Kontrollebene-Angriffsmuster hat mit strukturell identischen Methoden bereits zu messbaren DeFi-Verlusten geführt.

Bei Resolvs Vorfall im März handelte es sich um einen Exploit im Wert von 23 Millionen US-Dollar, bei dem der bereitgestellte Code genau wie vorgesehen funktionierte, die Off-Chain-Infrastruktur und vertrauenswürdige Schlüssel jedoch versagten.

Im April 2026 verlor Drift 285 Millionen US-Dollar, als Angreifer langjähriges Social Engineering mit gültigen Administratorsignaturen kombinierten.

KelpDAO verlor im selben Monat etwa 292 Millionen US-Dollar, als Angreifer die Off-Chain-RPC- und DVN-Infrastruktur kompromittierten.

In jedem Fall war der Fehlerpunkt betriebsbedingt: vertrauenswürdige Infrastruktur, Off-Chain-Systeme und Admin-Zugriffsebenen rund um den Vertrag.

Wo das Risiko verschwindet

Wenn Pakete im TrapDoor-Stil schnell erkannt werden, da das Socket-System eine durchschnittliche Erkennung nach 5 Minuten und 56 Sekunden protokolliert, und Teams r