摘要:新型恶意软件TrapDoor通过污染开发工具包,大规模渗透加密与AI开发者生态,窃取敏感凭证并操控AI编程助手,攻击者利用开源平台与社交工程手段构建隐蔽攻击链。
币圈界报道:
开发环境成新战场:恶意软件借工具包渗透关键系统
研究人员近期揭示一场针对加密与人工智能开发者的供应链攻击事件,攻击者利用被篡改的开发工具包植入名为“TrapDoor”的恶意程序,实现对数字钱包、云账户、API密钥及SSH权限的非法获取,严重威胁核心基础设施安全。
多生态传播范围广泛,目标直指高价值技术群体
根据安全机构Socket的追踪数据,该攻击自首次检测以来,已通过不少于34个恶意软件包及其384个版本变体,在npm、PyPI与Rust Crates等多个主流代码仓库中扩散。攻击重点锁定区块链、DeFi、AI模型训练及安全架构领域的开发者,其窃取的凭证足以让攻击者深入访问代码库、云服务节点与内部管理系统。
受影响的关联平台涵盖Coinbase、Binance、MetaMask、Brave等主流钱包服务,以及Solana、Sui、Aptos等公链生态。攻击还尝试通过在开发流程中嵌入隐蔽指令,诱导Claude、Cursor等AI编程助手执行虚假安全扫描任务,从而将机密信息回传至攻击者控制端。
伪装合法工具包,渗透三大技术社区
恶意软件包被精心设计为常见开发辅助工具,包括项目初始化模板、模型路由组件、Solidity编译框架、提示工程模块,以及面向Sui和Move语言的构建支持工具。这些受感染包横跨JavaScript、Python、AI与区块链开发场景,覆盖npm、PyPI与Rust生态。
其命名策略刻意模仿真实工具,使开发者在常规集成过程中难以识别异常。相关联的GitHub仓库中暴露了大量由AI生成的诱导性内容,如快速创建的假项目、未完成的恶意脚本片段,以及围绕安全漏洞构造的提示注入文档,暗示攻击者已深度融入开发协作流程。
攻击路径持续进化,融合多层社会工程策略
此次行动延续了以可信工具与专业沟通渠道精准打击加密从业者的模式。此前一个月,有研究团队披露攻击者曾借助Obsidian笔记应用,通过“PHANTOMPULSE”恶意载荷入侵金融与加密用户。攻击者通过LinkedIn与Telegram主动接触目标,诱使其下载含木马插件的共享笔记文件。
该恶意程序采用跨网络的区块链交易作为去中心化命令控制信道,规避传统中心服务器依赖,提升持久性与隐蔽性。四月下旬,另一波预警指出朝鲜关联组织利用伪造Zoom会议邀请、入侵Telegram账号,并结合类似ClickFix的社会工程手法,向macOS用户投递“Mach-O Man”恶意软件。
安全专家反复强调,软件供应链、协作平台、AI开发工具与开源仓库正成为加密领域的主要入侵入口,因开发者常以管理员权限安装第三方组件,极大提升了攻击成功率。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。