TrapDoor-Malware infiziert 34 Entwicklungspakete und stiehlt Kryptoschlüssel und Wallets

Das Sicherheitsunternehmen Socket identifizierte am 22. Mai 2026 einen koordinierten Angriff auf die Lieferkette. Forscher fanden 34 Schadpakete mit 384 Versionen in npm, PyPI und Crates.io. Die Kampagne mit dem Namen TrapDoor richtete sich an Entwickler in den Bereichen Krypto, dezentrale Finanzen (DeFi) und künstliche Intelligenz (KI). Das früheste bestätigte Paket, eth-security-auditor@0.1.0, erschien am 22. Mai 2026 um 20:20 UTC auf PyPI. Die Kampagne verteilte 21 Pakete über npm, sieben über PyPI und sechs über Crates.io. Pakete verwendeten irreführende Namen wie Prompt-Engineering-Toolkit, Solidity-Deploy-Guard und Defi-Threat-Scanner.

SSH-Schlüssel, Wallets und Cloud-Anmeldeinformationen zielten alle auf TrapDoor ab und verwendeten in jeder Registrierung eine andere Ausführungsmethode. In npm führten Postinstall-Hooks eine 1.149 Zeilen lange JavaScript-Nutzlast mit dem Namen trap-core.js aus. In PyPI haben Pakete beim Import ein Remote-Skript von GitHub Pages abgerufen und ausgeführt. In Crates.io haben bösartige build.rs-Skripte mithilfe der XOR-Verschlüsselung lokale Krypto-Keystores exfiltriert.

Zu den gestohlenen Daten gehörten Secure Shell (SSH)-Schlüssel, Wallet-Daten von Coinbase, Binance, Solana, Sui, Aptos und MetaMask. Cloud-Anmeldeinformationen, GitHub-Tokens, Browser-Anmeldedatenbanken und API-Schlüssel waren ebenfalls im Umfang enthalten. Die Crates.io-Komponente richtete sich an Sui- und Move-Entwickler. Es extrahierte Wallet-Keystores aus dem lokalen Speicher.

Der Angreifer verwandelte KI-Codierungstools in Agenten für den Diebstahl von Anmeldeinformationen. Der Angreifer hat zwei Projektkonfigurationsdateien manipuliert: .cursorrules, die vom Cursor-Editor verwendet wird, und CLAUDE.md, die vom Claude-Codierungsassistenten verwendet wird. Unicode-Zeichen mit der Breite Null verbargen bösartige Befehle in beiden Dateien. Als ein KI-Codierungstool eine der Dateien las, führte es scheinbar einen routinemäßigen Sicherheitsscan durch. Durch den Scan wurden Entwickleranmeldeinformationen in die Infrastruktur des Angreifers eingeschleust. Die Kampagne übermittelte auch vergiftete Pull-Anfragen an die KI-Projekte LangChain, MetaGPT und OpenHands.

„Hijack Your AI Coding Assistant“, 25. Mai 2026.

— Ahmad Nassri, CTO, Socket

Socket erkannte alle 34 Pakete in weniger als sechs Minuten. Socket markierte alle 34 Pakete durchschnittlich in weniger als sechs Minuten nach der Veröffentlichung. Die schnellste Einzelerkennung dauerte 58 Sekunden. Der Angreifer operierte von einem einzigen GitHub-Konto aus – ddjidd564 – und hostete Nutzlasten unter ddjidd564.github.io. Die Kampagne trug die interne Markierung P-2024-001. Socket meldete zum Zeitpunkt der Veröffentlichung keine bestätigte Anzahl infizierter Entwicklerumgebungen. Die Registry-Betreuer von npm, PyPI und Crates.io haben Berichte über alle 34 Pakete erhalten. TrapDoor verwendete in jeder Registrierung eine andere Ausführungsmethode. In npm führten Postinstall-Hooks eine 1.149 Zeilen lange JavaScript-Nutzlast mit dem Namen trap-core.js aus. In PyPI haben Pakete beim Import ein Remote-Skript von GitHub Pages abgerufen und ausgeführt. In Crates.io haben bösartige build.rs-Skripte mithilfe der XOR-Verschlüsselung lokale Krypto-Keystores exfiltriert.

„Hijack Your AI Coding Assistant“, 25. Mai 2026.

— Ahmad Nassri, CTO, Socket