TrapDoor 恶意软件活动渗透开发者供应链以瞄准加密货币和人工智能项目

复杂的恶意软件操作正在渗透软件开发供应链，将恶意代码嵌入到从事加密货币和人工智能项目的程序员定期纳入其应用程序的程序包中。 🚨 重大事件：npm、PyPI 和 Crates.​io 上的活跃供应链攻击。 Socket 检测到 TrapDoor，这是一个加密窃取活动，攻击了 34 个恶意软件包和 384 个版本和工件，攻击者反复在整个生态系统中推送新版本。 TrapDoor 的目标… pic.twitter.com/0CI758NJ6T — Socket (@SocketSecurity) 2026 年 5 月 24 日 Socket 的网络安全研究人员周日发布了全面的调查结果，记录了这次攻击活动，他们将其命名为“TrapDoor”。根据 Socket 的时间表，最初的发现发生在周五。在这段短暂的时间内，威胁参与者成功部署了超过 34 个受感染的软件包以及分布在多个开发人员存储库平台上的 384 个相关版本。该恶意软件作为一种数据泄露工具运行，旨在捕获机密信息。其范围包括加密货币钱包凭证、安全 shell 身份验证密钥、云基础设施访问令牌、GitHub 个人访问令牌、浏览器扩展信息和应用程序编程接口密钥。 Socket 首席技术官 Ahmad Nassri 证实，该恶意软件专门针对众多知名的加密货币钱包平台。目标列表包括 Coinbase、Binance、Solana、Sui、Aptos 和 MetaMask。此外，Brave浏览器的集成钱包功能也包含在攻击范围内。 TrapDoor 与传统恶意软件的区别在于一个特别创新的元素。运营工厂在人工智能驱动的开发助手中隐藏了指令，特别是针对克劳德和光标。这些嵌入式指令操纵工具执行伪装成合法安全审核的操作，随后导致人工智能助手在开发人员完全不知情的情况下定位和传输机密信息。受损的软件包渗透到了三个主要的开发人员软件包生态系统中。这些平台包括 npm，JavaScript 和 Node.js 开发社区的标准存储库； PyPI，广泛应用于数据科学、机器学习和自动化项目；和 Crates，为 Rust 编程语言开发者群体提供服务。恶意包命名法是为了模仿合法的开发资源而设计的。 Socket 的分析显示，它们被设计用来模拟 Solidity、Sui 和 Move 区块链平台的常见开发实用程序、项目初始化框架、模型路由库和编译工具。这种战略伪装使该活动在定期参与加密货币钱包集成、云基础设施管理和 GitHub 协作工作流程的开发者社区中具有广泛的影响力。 Socket 的调查发现了一些迹象表明人工智能在该活动的执行中提供了帮助。 GitHub 存储库表现出的特征包括广泛的以安全为中心的框架结构、通用诱饵存储库以及与功能性恶意软件元素集成的提示注入参考材料。 GitHub 是受感染软件包的主要分发渠道。值得注意的是，该平台此前曾于 5 月 20 日披露了一起明显的安全事件，涉及在成功入侵工作人员的计算设备后对内部代码存储库进行未经授权的渗透。 Socket 记录显示，检测恶意软件包版本的中位时间为 5 分 27 秒。最快速的识别发生在包裹发布后仅 58 秒。这种攻击体现了恶意行为者将受污染的包引入开发人员存储库的不断升级的模式，利用了程序员经常将依赖项安装为标准工作流程过程的现实，通常没有严格的安全审查。 Socket 没有将 TrapDoor 归咎于任何特定的威胁行为者或有组织的网络犯罪团体。截至本文发布时，该活动仍处于活跃状态。