同时关联该项目与事件的快讯
据安全公司 Socket Security 研究发现,名为 TrapDoor 的加密货币窃取型供应链攻击,横跨 npm、PyPI 和 Crates.io,涉及超过 34 个恶意软件包及 384 个相关版本与制品,目标指向加密货币、DeFi、Solana、Sui、Move 与 AI 开发者。攻击样本可窃取 SSH 密钥、钱包数据、AWS 凭证、GitHub 令牌、浏览器数据、环境变量等敏感信息。其中,npm 包通过 postinstall 钩子执行共享载荷 trap-core.js,PyPI 包在导入时执行远程 JavaScript,Crates.io 包则借助 build.rs 窃取本地密钥库。Socket 已将相关包全部标记为恶意,并向相关软件包注册表报告。
据 SlowMist 披露,其安全监测系统 MistEye 发现一款假冒 TronLink 的 Chrome MV3 扩展,针对 TRON 钱包用户发起双层钓鱼攻击。该扩展通过 Unicode 混淆与品牌仿冒伪装为官方插件,安装后优先加载远程 iframe 弹窗页面,诱导用户输入助记词、私钥、密钥库文件及密码,并通过同源接口与 Telegram Bot 外传。涉事恶意基础设施包括 tronfind-api[.]tronfindexplorer[.]com 和 trx-scan-explorer[.]org,恶意扩展 ID 为 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建议用户立即卸载该扩展,如已提交敏感信息,应尽快迁移资产并弃用原钱包。
Bybit 安全运营中心发现一项针对搜索 AI 开发工具 Claude Code 的 macOS 用户的多阶段恶意软件攻击活动。 攻击者通过搜索引擎优化投毒将恶意域名推至 Google 搜索结果前列,并诱导用户进入仿冒安装页面,进而窃取浏览器凭据、 macOS 钥匙串、 Telegram 会话、 VPN 配置及加密钱包信息。 Bybit 表示,该恶意软件还可通过后门程序建立持久化访问,并尝试针对超过 250 个浏览器钱包扩展及多个桌面钱包应用。此次恶意基础设施于 3 月 12 日被识别,相关分析、缓解和检测措施已于当日完成。