TrapDoor 供應鏈攻擊三大倉庫，34 個惡意包竊取加密錢包

安全公司 Socket Security 於 5 月 25 日披露名為 TrapDoor 的加密貨幣竊取供應鏈攻擊活動，已在 npm、PyPI 和 Crates.io 發現超過 34 個惡意軟體包和 384 個相關版本。Socket 已向受影響的登記庫報告，部分惡意包已被移除，截至報道時仍有部分存在。

三大倉庫的惡意執行機制

（來源：Socket Security）

npm（22 個包）透過安裝後鉤子（postinstall hooks）部署共享的 1,149 行憑證收集有效載荷 trap-core.js，使用 AWS 和 GitHub API 驗證被盜憑證，並透過 Git 鉤子、shell 鉤子、systemd、cron 和 SSH 植入持久化進程，被攻破的開發機器可成為橫向移動至其他基礎設施的橋樑。

PyPI（7 個包）在導入時自動執行，從攻擊者控制的 GitHub Pages 網域下載 JavaScript，並使用 node -e 執行，攻擊者無需發布新版本即可更新行為。Crates.io（6 個包，全部針對 Sui 和 Move 開發者）使用惡意 build.rs 建置腳本，在 Rust 編譯期間搜尋本地密鑰庫，以硬編碼 XOR 密鑰加密後傳送至 GitHub Gist。

TrapDoor 竊取的數據類型（Socket 已確認）

根據 Socket 分析，TrapDoor 竊取以下數據：

· SSH 金鑰（可用於橫向移動）

· Sui、Solana 和 Aptos 錢包數據

· AWS 憑證及 GitHub 令牌

· 瀏覽器設定檔和登入數據庫

· 加密錢包擴充功能數據

· 環境變數和 API 金鑰

· 本地開發設定檔

AI 目標注入：.cursorrules、CLAUDE.md 與惡意 PR

TrapDoor 使用 .cursorrules 和 CLAUDE.md 文件，透過零寬度 Unicode 字符植入隱藏指令，試圖誘騙 AI 編碼工具（如 Cursor、Claude）執行「安全掃描」，導致開發者密鑰被竊取。攻擊者使用 GitHub 帳號 ddjidd564，同時向 browser-use、langchain、langflow、llama_index、MetaGPT 和 OpenHands 等主流 AI 開源專案提交拉取請求，嘗試插入指向攻擊者控制配置 URL 的 .cursorrules 和 CLAUDE.md 文件，活動標記為 P-2024-001。

常見問題

受 TrapDoor 影響的開發者應採取哪些緊急措施？

立即識別並移除任何已安裝的相關惡意包（完整列表涵蓋 npm 22 個、PyPI 7 個、Crates.io 6 個），並立即撤銷任何已暴露的 AWS 憑證、GitHub 令牌和 SSH 密鑰。Socket 已向三大登記庫報告，並持續更新其 TrapDoor 攻擊活動追蹤頁面。

TrapDoor 攻擊活動的基礎設施是什麼？

攻擊者使用 GitHub 帳號 ddjidd564 託管有效載荷和配置，GitHub Pages 網域為 ddjidd564[.]github[.]io/defi-security-best-practices/。該帳戶還維護攻擊者自撰的技術文件（包括 AUDIT-MATRIX.md、BYPASS.md、PAYLOAD.md 和 SWARM.md）以及多個以 DeFi 和安全為主題的誘餌倉庫。

開發者如何確認自己的環境是否已被感染？

Socket 建議檢查本地開發環境中是否存在 .cursorrules 或 CLAUDE.md 文件中包含零寬度 Unicode 字符的異常配置，以及 postinstall 鉤子、systemd 服務或 cron 任務中的異常進程。Socket 的完整惡意包名單已公開，開發者可逐一核查已安裝的包。