TrapDoor 恶意软件感染 34 个开发包，窃取加密密钥和钱包

Security company Socket identified a coordinated supply chain attack on 22 May 2026. Researchers found 34 malicious packages spanning 384 versions across npm, PyPI, and Crates.io.该活动名为 TrapDoor，针对加密货币、去中心化金融 (DeFi) 和人工智能 (AI) 领域的开发人员。最早确认的软件包 eth-security-auditor@0.1.0 于 2026 年 5 月 22 日 20:20 UTC 时间出现在 PyPI 上。该活动在 npm 上分发了 21 个软件包，在 PyPI 上分发了 7 个软件包，在 Crates.io 上分发了 6 个软件包。软件包使用了欺骗性名称，例如提示工程工具包、可靠性部署防护和去污威胁扫描仪。

SSH 密钥、钱包和云凭证都被 TargetedTrapDoor 在每个注册表中使用了不同的执行方法。在 npm 中，安装后挂钩运行一个名为 trap-core.js 的 1,149 行 JavaScript 负载。在 PyPI 中，包在导入时从 GitHub Pages 获取并执行远程脚本。在 Crates.io 中，恶意 build.rs 脚本使用 XOR 加密窃取本地加密密钥库。

被盗数据包括 Secure Shell (SSH) 密钥、来自 Coinbase、Binance、Solana、Sui、Aptos 和 MetaMask 的钱包数据。云凭证、GitHub 令牌、浏览器登录数据库和 API 密钥也在范围内。 Crates.io 组件针对 Sui 和 Move 开发人员。它从本地存储中提取钱包密钥库。

Attacker turned AI coding tools into credential theft agentsThe attacker poisoned two project configuration files: .cursorrules, used by the Cursor editor, and CLAUDE.md, used by the Claude coding assistant.零宽度 Unicode 字符在这两个文件中隐藏了恶意命令。当人工智能编码工具读取任一文件时，它会执行看似例行的安全扫描。扫描将开发人员凭据泄露到攻击者的基础设施中。该活动还向人工智能项目 LangChain、MetaGPT 和 OpenHands 提交了有毒的拉取请求。

“劫持你的人工智能编码助手”，2026 年 5 月 25 日。

— Ahmad Nassri，Socket 首席技术官

Socket 在六分钟内检测到所有 34 个包平均在每个包发布后不到六分钟内标记出所有 34 个包。最快的个体检测耗时58秒。攻击者通过单个 GitHub 帐户（ddjidd564）进行操作，该帐户在 ddjidd564.github.io 上托管有效负载。该活动带有内部标记 P-2024-001。截至发布时，Socket 尚未报告受感染开发环境的确认数量。 npm、PyPI 和 Crates.io 的注册表维护人员收到了所有 34 个软件包的报告。 TrapDoor 在每个注册表中使用了不同的执行方法。在 npm 中，安装后挂钩运行一个名为 trap-core.js 的 1,149 行 JavaScript 负载。在 PyPI 中，包在导入时从 GitHub Pages 获取并执行远程脚本。在 Crates.io 中，恶意 build.rs 脚本使用 XOR 加密窃取本地加密密钥库。

“劫持你的人工智能编码助手”，2026 年 5 月 25 日。

— Ahmad Nassri，Socket 首席技术官

Socket 在六分钟内检测到所有 34 个包平均在每个包发布后不到六分钟内标记出所有 34 个包。最快的个体检测耗时58秒。攻击者通过单个 GitHub 帐户（ddjidd564）进行操作，该帐户在 ddjidd564.github.io 上托管有效负载。该活动带有内部标记 P-2024-001。套接字报告未确认