安全昨天·Socket Security + The Hacker News + CoinDesk
TrapDoor供应链攻击席卷npm/PyPI/Crates.io,34个恶意包窃取开发者凭证并毒化AI助手
安全公司Socket Security发现大规模跨生态供应链攻击TrapDoor,涉及34个恶意包和384个版本,同时针对npm、PyPI和Crates.io。攻击者通过postinstall钩子和build.rs脚本窃取加密货币钱包、SSH密钥和云凭证,并修改.cursorrules和CLAUDE.md文件毒化AI编码助手。严重等级9.5,影响加密、DeFi、Solana和AI开发者社区。
TrapDoor攻击:AI时代的供应链安全警钟
2026 年 5 月 22 日至 29 日,TrapDoor 攻击持续活跃,最早活动记录于 5 月 19 日。
攻击规模
- 34 个恶意包,跨越 npm、PyPI 和 Crates.io 三大仓库
- 384 个版本和工件,攻击者持续推送新版本
- 最早确认的 PyPI 包 crypto-credential-scanner 发布于 5 月 19 日
攻击手法
- npm 包: 运行 1,149 行的 trap-core.js 脚本,使用 Fernet 和 ECDH 加密,通过 AWS 和 GitHub API 验证窃取凭证
- Crates.io 包: 使用 build.rs 触发恶意代码,XOR 加密后通过 GitHub Gist 外泄数据
- PyPI 包: postinstall 钩子执行远程 JavaScript 载荷
- AI 助手毒化: 修改 .cursorrules 和 CLAUDE.md 文件,用零宽Unicode字符隐藏指令,使未来 AI 编码会话执行虚假"安全扫描"窃取机密
持久化
攻击者通过 systemd 服务、cron 任务、Git hooks 和 shell hooks 建立持久访问,并通过 SSH 横向移动。
影响范围
目标涵盖加密货币、DeFi、Solana、Sui、Move 和 AI 社区开发者。攻击者控制的 GitHub Pages 仓库包含内部文件,称该行动为"通用 AI 智能体提取框架"。
防御建议
- 立即轮换所有开发环境凭证
- 检查已安装的 npm/PyPI/Crates.io 包是否在恶意清单中
- 审查 .cursorrules 和 CLAUDE.md 文件是否被篡改
- 启用包仓库的签名验证
来源: Socket Security + The Hacker News + CoinDesk + CyberSecSentinel
链接: https://thehackernews.com/2026/05/trapdoor-supply-chain-attack-spreads.html