摘要:针对npm、PyPI、Crates.io等主流包仓库的“陷阱门”恶意软件攻击已造成超30个恶意包上线,窃取钱包密钥与云凭证。攻击者利用多账户波浪式投放,深度渗透开发流程,甚至影响AI编程工具,暴露开源依赖的系统性风险。
币圈界报道:
开源生态遭“陷阱门”入侵,加密开发者面临隐蔽供应链威胁
一项名为“陷阱门”的复杂恶意软件活动被揭露,其目标直指加密货币与区块链领域广泛使用的开源软件生态系统。该攻击通过精心策划的供应链手段,试图获取钱包私钥、云平台访问凭证及源代码权限,对整个开发环境构成严重安全隐患。
多平台协同投毒,恶意包呈波浪式扩散
攻击者同时在npm、PyPI与Crates.io等多个主流软件包注册中心发起行动,短时间内发布超过30个恶意包及其300多个感染版本。高峰时期集中在2026年5月22日前后,而5月20日已有内部代码库遭遇未授权访问的预警记录,显示攻击存在预谋性。
伪装成常规更新,行为模式高度一致
攻击者并未采用单一账户上传,而是通过多个身份以“潮涌式”方式散布恶意组件,使早期检测难度剧增。这些恶意包展现出相似的执行逻辑,极可能基于同一攻击框架运行,具备协同控制特征。
安装即触发,数据窃取自动化
恶意代码在不同语言环境下采取差异化激活机制:JavaScript包通过安装后脚本启动,Python包在导入时触发,Rust包则于构建阶段运行。一旦激活,即开始扫描本地存储的SSH密钥、API令牌、环境变量及浏览器凭据,并将信息回传至攻击者服务器。
瞄准核心资产,覆盖金融与基础设施
攻击重点锁定与币安、MetaMask、Coinbase、Solana等主流平台相关的钱包配置文件和工具链。此外,它还针对性地搜寻AWS服务凭证、代码托管平台访问令牌以及远程登录所需的SSH密钥,对个人开发者与企业级系统均构成双重威胁。
渗透AI辅助开发流程,攻击边界持续外延
部分恶意包利用. cursorrules、CLAUDE.md等配置文件,干扰AI编程助手的输出逻辑,诱导其生成含后门的代码片段。这表明攻击已从单纯执行恶意指令升级为操控开发者工作流本身,形成新型认知层面的威胁。
结构性脆弱凸显,防御体系亟待重构
此次事件再次揭示加密行业对开源依赖所隐藏的深层风险。一旦关键密钥或权限被批量泄露,将导致不可逆的资产损失。因此,强化软件包来源验证、实施最小权限原则与动态监控,已成为当前最紧迫的安全防线建设任务。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。