loading...
安全平台Socket近日披露,一个名为“TrapDoor”的恶意代码活动正通过至少34个恶意软件包及其384个相关版本,窃取钱包信息、API密钥和GitHub令牌等敏感数据。
Socket在报告中指出,该活动于23日被发现。攻击者将恶意软件包植入npm、PyPI、Crates等开发者日常使用的软件分发生态系统中,并将其伪装成正常工具诱导安装。其攻击目标尤其针对Coinbase、Binance、Solana、Sui、Aptos、MetaMask等主流加密货币钱包。
Socket首席技术官表示,这些恶意代码通过隐藏指令劫持Claude、Cursor等ai编程辅助工具。它们在表面上伪装成“安全检查”或类似任务,诱使ai工具寻找并向外发送机密信息。
此次攻击覆盖面广泛,主要针对加密货币、去中心化金融、人工智能及安全领域的开发者,意图窃取钱包数据、SSH密钥、云账户信息、浏览器扩展数据及API密钥。Socket指出,这是一种典型的攻击手法:在开发者应用商店中投放含毒软件包,使其在日常工作流程中无意安装。
恶意软件包的名称经过精心设计,例如“开发辅助工具”“项目设置工具”“模型路由实用工具”“提示工程包”“Solidity工具”“Sui/Move构建助手”等,外观自然,不仅针对加密货币开发者,也广泛波及相邻的ai与安全开发者群体。
这一事件再次表明,开发者生态系统正成为供应链攻击的核心目标。近期,随着ai工具深度融入开发流程,恶意代码已从单纯的信息窃取演变为能够欺骗“ai辅助工具”的形态。Socket在GitHub活动记录中也观察到快速迭代修改、伪造安全文档以及仅部分实现的窃取代码。
此次警告发布在GitHub报告其内部存储库遭未授权访问事件后不久,引发了广泛关注。随着攻击通过开发者信任的平台与工具持续渗透,业界认为加密货币项目与ai服务领域亟需加强供应链安全审查。
业内专家指出,“TrapDoor”案例并非简单的恶意软件包传播,而是一种同时针对加密货币钱包、云账户和ai开发环境的复合型攻击。若开发者生态系统的信任基础受到动摇,其影响可能远超个别账户泄露,蔓延至整个项目生态。
964
709
404
798
380
732
916
810
578
804
