加密貨幣竊取活動 TrapDoor 橫跨 npm、PyPI 與 Crates.io,涉及超 34 個惡意包
據安全公司 Socket Security 研究發現,名爲 TrapDoor 的加密貨幣竊取型供應鏈攻擊,橫跨 npm、PyPI 和 Crates.io,涉及超過 34 個惡意軟件包及 384 個相關版本與製品,目標指向加密貨幣、DeFi、Solana、Sui、Move 與 AI 開發者。攻擊樣本可竊取 SSH 密鑰、錢包數據、AWS 憑證、GitHub 令牌、瀏覽器數據、環境變量等敏感信息。其中,npm 包通過 postinstall 鉤子執行共享載荷 trap-core.js,PyPI 包在導入時執行遠程 JavaScript,Crates.io 包則藉助 build.rs 竊取本地密鑰庫。Socket 已將相關包全部標記爲惡意,並向相關軟件包註冊表報告。
