下一个大型 DeFi 漏洞将在代码部署之前开始

Socket 于 5 月 24 日披露的 TrapDoor 发现，超过 34 个恶意软件包和超过 384 个相关版本分布在 npm、PyPI 和 Crates.io 上，每个版本都针对构建和维护协议的开发人员以及管理对周围系统的访问的凭据。

TrapDoor 构建的是一条从单个开发人员的受感染计算机到存储库、CI/CD 管道、云帐户和部署密钥的路线，这些密钥控制协议如何到达主网并在部署后保持更新。

Socket 的报告确认凭证盗窃和基础设施暴露是该活动记录的范围，而链上漏洞则是推断的下游后果。

六阶段流程图显示了恶意软件包如何从开发人员计算机受损到凭证盗窃，从而使用户资金面临风险。

攻击面开发人员不进行审核

该活动通过普通开发人员工作流程传递有效负载，例如通过安装后挂钩执行恶意代码的 npm 包、在获取远程 JavaScript 时在导入时触发有效负载的 PyPI 包以及在编译期间运行 build.rs 脚本的 Rust 包。

正常的开发人员行为是攻击面，因为这些执行路径都不需要除了包安装、导入或构建命令之外的任何内容。

在实时协议的环境中，任何一个凭证类别都可以代表一条通向用户资金的路径，而智能合约审计从未检查过该路径。

Socket 明确将被盗的 SSH 密钥定义为支持横向移动，将云和 GitHub 凭证定义为暴露存储库、CI/CD 系统、私有包和部署环境。

该链包括恶意软件包、开发人员泄露、凭证盗窃、存储库和云访问以及恶意更新，描述了 DeFi 漏洞如何在没有任何易受攻击的 Solidity 的情况下出现。

AI指令注入

Socket 发现 TrapDoor 活动试图在 .cursorrules 和 CLAUDE.md 等文件中植入隐藏指令，这些文件是 Cursor 和 Claude Code 等 AI 编码助手读取的配置文件，以了解项目中的行为方式。

注入的指令采用隐藏的 Unicode 技术来引导人工智能辅助的工作流程进行秘密发现和渗透。

Socket 还发现提交给人工智能和开发人员工具项目的拉取请求，这些项目试图在听起来良性的标签下引入指令文件。

目标是人工智能助手，它读取存储库、生成代码并在项目文件提供的任何上下文中进行操作。

如果攻击者通过隐藏的 Unicode 指令悄悄地操纵该上下文，则人工智能辅助的工作流程将成为一种渗透机制。

更广泛的模式

SafeDep 记录了 5 月 11 日的一次活动，该活动破坏了 170 多个 npm 软件包和两个 PyPI 软件包，涉及与 TanStack、Mistral SDK、UiPath、OpenSearch 和 Guardrails AI 相关的 404 个恶意版本。

StepSecurity 描述了 48 小时内针对 VS Code 扩展、GitHub Actions、npm 和 PyPI 的五次重大供应链攻击，其中包括一个安装量达 220 万次的中毒 VS Code 扩展和木马化的 Microsoft PyPI 软件包。

Sonatype 报告称，2025 年新增恶意软件包超过 454,600 个，累计数量超过 123.3 万个，恶意软件包现在成为更广泛入侵的入口点。

活动/来源

时机

生态系统受影响

引用规模

为什么这对这个故事很重要

活板门/插座

2026年5月

npm、PyPI、Crates.io

34+恶意软件包； 384+ 版本/工件

显示加密货币开发人员在代码到达主网之前就成为目标

安全部活动

2026 年 5 月 11 日

npm、PyPI

170+ npm 包； 2 个 PyPI 包； 404恶意版本

显示恶意软件包通过主流开发人员依赖项传播

StepSecurity 48 小时波

2026年5月

VS Code、GitHub Actions、npm、PyPI

5次重大攻击；一个 VS Code 扩展安装量达到 220 万次

显示攻击者跨越多层开发人员工具

Sonatype 2025 数据

2025年

主要开源生态系统

454,600+ 个新恶意软件包；累计123.3万+

表明恶意软件包正在成为工业化入侵渠道

使用结构相同的方法，控制平面攻击模式已经导致了可衡量的 DeFi 损失。

Resolv 3 月份的事件涉及价值 2300 万美元的漏洞，其中部署的代码完全按照设计运行，但链下基础设施和可信密钥失败。

2026 年 4 月，攻击者将长期运行的社交工程与有效的管理员签名结合起来，Drift 损失了 2.85 亿美元。

同月，由于攻击者破坏了链下 RPC 和 DVN 基础设施，KelpDAO 损失了约 2.92 亿美元。

在每种情况下，故障点都是可操作的：受信任的基础设施、链下系统以及围绕合约的管理访问层。

风险解决的地方

如果 TrapDoor 风格的包能够快速检测，因为 Socket 的系统记录的平均检测时间为 5 分 56 秒，并且团队 r