摘要:新型恶意软件TrapDoor通过污染开源开发工具包,对加密与AI领域开发者发起大规模供应链攻击,窃取敏感凭证并操控AI编程助手,威胁遍及npm、PyPI及Rust生态。
币圈界报道:
TrapDoor恶意软件冲击开发者生态,供应链安全面临严峻考验
近期安全研究机构披露,一种名为“TrapDoor”的新型恶意软件正通过受污染的开发工具包渗透加密与人工智能开发环境,其目标直指数字钱包私钥、API密钥、云平台访问权限及SSH凭证,构成对核心基础设施的重大威胁。
多源传播覆盖广泛,影响范围持续扩大
据安全分析平台Socket监测,该攻击自首次发现以来,已通过不少于34个恶意软件包及其衍生版本,在npm、PyPI和Rust Crates等主流包管理生态中实现跨语言传播。攻击者聚焦于区块链、去中心化金融、AI模型开发及安全系统构建领域的开发者群体,利用窃取的凭据可远程接入代码仓库、云服务账户与内部协作系统。
受影响的生态系统涵盖Coinbase、Binance、MetaMask、Brave等主流钱包服务,以及Solana、Sui、Aptos等公链生态。攻击还试图在开发流程中植入隐蔽指令,诱导Claude、Cursor等AI编程辅助工具执行虚假安全检测任务,进而泄露机密数据并回传至攻击控制端。
伪装合法工具包,渗透意图隐蔽难辨
攻击者将恶意组件包装为常见开发辅助工具,如项目初始化模板、模型路由模块、Solidity编译框架、提示工程库,以及面向Sui与Move语言的构建支持工具。这些被感染的包同时出现在JavaScript、Python、AI自动化与区块链开发社区中,形成跨生态渗透能力。
软件包名称刻意模仿真实工具命名惯例,使开发者在日常依赖过程中难以识别异常。关联的GitHub仓库中暴露大量由AI生成的诱导性内容,包括快速创建的伪项目模板、未完成的恶意模块,以及围绕安全主题设计的提示注入文档,暗示攻击者已深度整合AI技术进行社会工程演化。
攻击链路升级,依托去中心化架构规避追踪
此次行动延续了以可信开发工具与专业沟通渠道为目标的精准打击模式。此前有报告指出,攻击者曾借助Obsidian笔记应用,通过“PHANTOMPULSE”恶意插件入侵加密从业者的工作流;其手段包括在LinkedIn与Telegram上接触目标,诱导下载含木马的共享笔记库。
该恶意软件采用基于区块链交易数据构建的去中心化命令控制网络,可在不依赖传统中心服务器的前提下维持持久连接,显著提升隐蔽性与抗封锁能力。四月下旬,另一波针对macOS用户的攻击亦被曝光,朝鲜关联组织通过伪造Zoom会议邀请、侵入Telegram账号,并使用类ClickFix的社会工程手法,传播名为“Mach-O Man”的恶意程序。
多方研究警示,当前软件供应链、协同开发平台、AI辅助工具及开源代码仓库已成为加密行业最易被利用的入侵入口,主要原因在于开发者常以高权限安装第三方依赖,而缺乏对来源可信度的严格审查机制。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。