摘要:针对npm、PyPI、Crates.io等主流包仓库的“陷阱门”恶意软件攻击事件曝光,攻击者通过伪装依赖项窃取钱包密钥、云凭证与源码权限,甚至渗透AI开发流程,凸显开源生态安全短板。
币圈界报道:
“陷阱门”攻击波及多平台开源仓库,供应链安全再受冲击
一项代号为“陷阱门”的复杂供应链攻击活动被披露,其目标直指加密货币与区块链开发者广泛使用的开源生态系统。该攻击不仅涉及钱包私钥、云服务访问凭证,还涵盖源代码管理系统的授权令牌,对整个开发环境构成严重威胁。
多仓库协同投毒,恶意包呈“潮涌式”扩散
调查发现,攻击者在npm、PyPI与Crates.io等多个主流软件包平台同步部署恶意组件。在短短数日内,超过30个恶意包及其衍生版本被发布,峰值活跃时间集中在2026年5月22日前后。此前5月20日已出现内部代码库遭未授权访问的预警信号。
行为模式高度一致,疑似共享攻击框架
攻击者并未采用单一账户上传,而是借助多个身份以“浪潮式”方式分批投放恶意包,有效规避早期检测机制。所有恶意组件展现出相似的执行逻辑,且均指向同一远程控制基础设施,表明背后存在统一的攻击架构。
跨语言隐蔽执行,数据窃取链路完整
恶意代码依据语言特性自动触发:JavaScript包通过安装后脚本激活,Python包在导入时启动,Rust包则在构建阶段运行。其后续行为包括扫描本地系统,提取SSH密钥、API令牌、环境变量及浏览器存储的登录凭据,并将数据外传至攻击者服务器。部分样本还尝试劫持开发工具启动流程以实现持久驻留。
精准锁定加密资产与开发基础设施
攻击重点聚焦于与币安、MetaMask、Coinbase、Solana等平台相关的钱包配置文件与工具。同时,攻击者也积极搜寻AWS账户凭证、代码托管平台令牌及远程访问所需的SSH密钥,对个人开发者与企业级系统均构成双重风险。
AI辅助工具遭劫持,攻击进入新维度
更值得关注的是,部分恶意包利用. cursorrules、CLAUDE.md等AI编程辅助配置文件,试图操控生成式编程助手的行为。这标志着攻击已从单纯注入恶意代码转向对开发者工作流本身的操控,形成新型威胁路径。
此次“陷阱门”事件揭示了依赖开源组件的数字金融领域所固有的深层脆弱性。一旦核心密钥或权限泄露,后果可能瞬间蔓延至整个项目生态。因此,强化软件包来源验证、实施最小权限原则与建立动态监控机制,已成为当前亟需构建的关键防御体系。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。