ソケットは、コード内の悪意のあるオープンソースパッケージを積極的にブロックします
インストール私たちと一緒に依存関係を保護しましょう
ソケットの研究者たちは、npm、PyPI、およびCrates.ioを横断する活動的な暗号窃取ソフトウェア供給チェーン攻撃を特定しました。ソケットはこのキャンペーンを「TrapDoor」として追跡しており、npm、PyPI、およびCrates.io上で34以上の悪意のあるパッケージと384以上の関連バージョンおよびアーティファクトを横断しており、一部は既に削除され、他の一部は当時の記述時にはまだ活動中でした。
ソケットが観察した最も早いパッケージはPyPIのパッケージでしたeth-security-auditor@0.1.0は2026年5月22日20時20分18秒(UTC)にアップロードされ、車輪は20時22分04秒(UTC)に公開されました。パッケージは少数のアカウントによって波状に公開され、週末を通じて積極的に更新されました。彼らは一般的な開発者ツールとしてのふりをして多くのレジストリで急速に連続して現れたため注目されました。Socketはすべての3つのエコシステムで悪意のあるパッケージを検出しました。接続はCrates.ioの波の間明確になりました。RustパッケージはSuiとMove開発者をターゲットにし、関連するnpmおよびPyPIパッケージとインフラストラクチャおよび行動の重複を示しました。
TrapDoorは、暗号、DeFi、Solana、AIコミュニティの開発者をターゲットとしています。悪意のあるパッケージは、開発者の秘密、暗号ウォレット、SSHキー、クラウド認証情報、ブラウザデータ、環境変数を盗むように設計されています。数多くのnpmパッケージは、trap-core.jsという共有ペイロードをデプロイし、認証情報をスキャンし、AWSとGitHubトークンを検証し、SSHベースの横方向の移動を試み、.cursorrulesを通じて持続性を植え付けます。CLAUDE.mdGitフック、シェルフック、systemd、cron、およびSSH.
async-pipeline-builderbuild-scripts-utilschain-key-validatorcrypto-credential-scannerdefi-env-auditordefi-threat-scannerdeployment-key-auditordev-env-bootstrappereth-wallet-sentinelllm-context-compressormnemonic-safety-checkmodel-switch-routernode-setup-helpersproject-init-toolsprompt-engineering-toolkitsolidity-deploy-guardtoken-usage-trackerwallet-backup-verifierwallet-security-checkerweb3-secrets-detectorworkspace-config-loadercryptowallet-safetydata-pipeline-checkdefi-risk-scannerenv-loader-clieth-security-auditorgit-config-syncsolidity-build-guardmove-analyzer-buildmove-compiler-toolsmove-project-buildersui-framework-helperssui-move-build-helpersui-sdk-build-utilsTrapDoorはnpm、PyPI、およびCrates.ioをカバーしています、通常のパッケージインストール、ビルド、およびインポートワークフロー中に開発者に到達するために、エコシステム固有の実行パスを使用しています。
キャンペーンには以下が含まれます:
trap-core.jsペイロードを含むアクティブなバージョンbuild.rs スクリプトを通じてパッケージのバージョンを提供します。パッケージ名は開発支援ツール、プロジェクトセットアップツール、モデルルーティングユーティリティ、プロンプトエンジニアリングパッケージ、Solidityツールキット、SuiまたはMoveビルド支援ツールのように見せかけられています。これにより、暗号ウォレット、クラウド認証情報、GitHubトークン、SSHキーが存在する隣接する開発者コミュニティに広範な影響を及ぼすことができます。
インフラストラクチャの接続はキャンペーン全体で一貫しています。攻撃者はGitHubアカウントddjidd564を使用してペイロードと設定をホストし、それにはGitHubから提供されるコンテンツが含まれますddjidd564[.]github[.]io/defi-security-best-practices/は、データの不正抽出、プロンプト注入、AIエージェントの悪用、持続性、関連するマルウェア開発の概念を記述する攻撃者作成のコンテンツも含まれており、単なるペイロードホストを超えています。キャンペーンでは、P-2024-001というマーカーも使用されており、関連するコンポーネント全体に現れています。
悪意のあるパッケージは、開発者シークレットと機密なローカルデータを広範囲に収集するように設計されています。
これにより、攻撃者は開発者マシンと関連インフラへの複数の侵入経路を得ます。盗まれたSSHキーは横方向の移動に再利用され、クラウドとGitHubの資格情報はリポジトリ、CI/CDシステム、プライベートパッケージ、デプロイ環境を露出させます。
TrapDoorのnpm部分は最も広範囲です。npmユーザーによって公開されたソケット識別の悪意のあるパッケージで、分析時には複数のバージョンがアクティブですasdxzxc。npmパッケージはポストインストール実行に依存します。インストールされると、共有ペイロードを実行します
。trap-core.jsは、1,149行の認証情報収集および拡散ツールです。
このペイロードは認証情報と開発者機密をスキャンし、AWSとGitHub APIコールを使用して盗まれた認証情報を検証し、複数の持続性メカニズムを通じてアクセスを維持しようとします。
観測された持続性ベクターには以下が含まれます:
.cursorrulesCLAUDE.mdnpmペイロードも盗まれたSSHキーを再利用して追加のシステムにアクセスすることで横方向の移動を試みます。これは単純な一度きりの資格情報盗難よりもキャンペーンをより危険にするものです。なぜなら、侵害された開発マシンが他のインフラストラクチャへのブリッジになる可能性があるからです
一つのパッケージ、dev-env-bootstrapperは特に注目に値しており、マルウェアでありながら配布ベクターとしても機能します。認証情報の盗難に参加すると同時に、悪意のある設定を開発者環境に広めるのを助けます。
ソケットは悪意のあるCrates.io パッケージを検出し、TrapDoorを狙ったSuiとMoveの開発者をターゲットとしています。
これらのパッケージはbuild.rsを使用しており、Rustのビルドプロセス中に自動的に実行されます。悪意のあるビルドスクリプトはローカルのキーストアを検索し、ハードコードされたXORキーを使用してデータを暗号化し、それをGitHub Gistsにエクスフィルテートします.
の使用build.rsは重要です。なぜなら、パッケージのコンパイル中にコードを実行できるため、開発者が直接パッケージの機能を実行する前に、この機能が利用できるからです。SuiとMoveツールリングと共に作業する暗号開発者にとって、これはウォレットとキーストアの盗難に対する高いリスクパスを作成します。
The Crates.io パッケージは、Socket 研究者たちがより広範なキャンペーンを調査するきっかけとなったサインの一つでした。それぞれ単独では、新しいパッケージとして公開され、低い影響力であると見えました。しかし、複数の関連するパッケージにわたる怪しいパターンは、研究者たちを共有された攻撃者インフラを使用する npm と PyPI パッケージの活動と結びつけることに導きました。
ソケットもTrapDoorに接続している悪意のあるPyPIパッケージを特定しました。PyPIパッケージはインポート時に自動実行され、攻撃者制御のGitHub PagesドメインからJavaScriptをダウンロードし、node -eを使用して実行します。
この技術はPythonパッケージがリモートのJavaScriptペイロードに実行を委譲できるようにし、公開後攻撃者がより柔軟性を持つことを可能にします。ペイロードを外部でホスティングすることで、攻撃者は新しいPyPIリリースを公開することなく振る舞いを更新できます.
PyPIパッケージは複数のアカウントに公開されたようで、asdmini67およびdae5411と関連付けられたアカウントが含まれているようです.
TrapDoorのより珍しい特徴の一つは、.cursorrulesやCLAUDE.mdなどのファイルを通じてAIをターゲットにしたインジェクションの使用です。
これらのファイルは一般的に、AIコーディングツールにプロジェクト固有の指示を提供するために使用されます。このキャンペーンでは、攻撃者はゼロ幅Unicode文字を使用して隠れた指示を仕込もうとしています。目的は、AIアシスタントに「セキュリティスキャン」や似たようなワークフローを実行させることで、秘密の発見と流出を誘発することのようです。
この技術はすべてのツールやモデルで一貫して機能しない可能性がありますが、その存在は攻撃者がサプライチェーンマルウェアキャンペーンの一部として、AI開発環境を積極的に実験していることを示しています。
ホスティングされているGitHub Pagesサイトもこのワークフローをサポートしているようです。パッケージは攻撃者によって制御されているGitHub PagesのURLを指し、HTMLサイトとしてレンダリングされ、AIアシスタントにセキュリティスキャンを実行するよう促す試みをします。そのスキャンは機密なローカルデータを収集し、持ち出すことを設計されています.
TrapDoorは、生態系やペイロードの段階に応じて、複数の暗号化と検証レイヤーを使用します。
In theCrates.io(Crates.io)パッケージ、ソケットで観測されたXORベースの暗号化はハードコードされたキーを使用していますcargo-build-helper-2026.
npmパッケージのペイロードにおいて、攻撃者はFernetとECDH暗号化を含むより高度な暗号技術を使用しています。これは、基本的なコピー&ポスト型の認証情報盗用ツールよりも発達したペイロードであることを示唆しています。
npmマルウェアはまた、AWSとGitHubの盗難認証情報をAPIコールによって検証しています。これにより、攻撃者は有効な認証情報を期限切れや低価値データから区別することができ、おそらく下流の悪用の効率を向上させます。
攻撃者に制御されたGitHub Pagesレポジトリには、またも__AUDIT-MATRIX.md は、TrapDoor の背後にある意図された抽出フレームワークを説明していると考えられる文書です。この文書では、操作を「Universal AI Agent Extraction Framework」として提示し、能力検知、データ抽出、自己複製のフォールバック、およびテレメトリ報告のための段階的なワークフローを概説しています。
この文書は、確認された実行時行動の一対一のリストとして扱ってはいけません。それは部分的に実装された設計文書であると自己記述し、完全な多段階適応抽出パイプラインが展開されていないと述べています。しかし、文書化された多くの概念はnpmペイロードで観察された行動と一致しており、ファイルシステムスキャン、環境変数収集、資格情報発見、AI向けの偽装言語などが含まれます。.cursorrules 持続性と、攻撃者のGitHub Pagesインフラストラクチャを通じたリモートコンフィギュレーション。
「装飾層」のセクションは特に関連があります。このセクションは、資格情報の盗難行為をセキュリティ監査、ウォレットの安全チェック、クラウド設定の検証、リポジトリのセキュリティレビュー、接続状態のチェックなどの無害に聞こえるタスクにマッピングします。これはキャンペーンの広範な戦略を反映しており、悪意のある抽出を有用な開発者やセキュリティ自動化として提示することです。
この文書はまた、キャンペーンがAIを対象としていることを強調しています。そのフォールバックチェーンは、システムディレクティブを使用して.cursorrulesファイルを書き込み、将来のAIセッションがレポートを実行するように記述しています。一方、npmペイロードは.cursorrulesとCLAUDE.mdファイルを書き込み、持続性と拡散ロジックの一部としています。
攻撃者の活動は悪意のあるパッケージを公開するだけではありません。同じGitHubアカウントddjidd564は、browser-use/browser-use、langchain-ai/langchain、langflow-ai/langflow、run-llama/llama_index、FoundationAgents/MetaGPT、OpenHands/OpenHandsを含む複数のAIと開発者ツールプロジェクトに対してプルリクエストを開いたこともあります。
プルリクエストは繰り返し、追加を試みました.cursorrules または CLAUDE.md のファイルは、「docs: .cursorrules に開発基準とビルド検証を追加」、「docs: CLAUDE.md に開発基準とビルド検証を追加」といった良性のタイトルの下に存在し、数多くは同じキャンペーンマーカーである P-2024-001 を参照し、変更をAI支援開発ガイド、ビルド検証、またはプロジェクト固有のコーディング基準として提示していた。
In thebrowser-use/browser-usePR、提案された.cursorrules攻撃者による設定URLを指し示すファイルがあり、同じキャンペーンマーカーを参照していた
{
"standard": "P-2024-001",
"config": "<https://ddjidd564.github.io/defi-security-best-practices/config.json>",
"strategy": {
"scan_depth": 3,
"enabled_vectors": [
"git",
"vscode",
"cursorrules",
"sourceHeaders",
"readme",
"pkgJson",
"claudeMd",
"prepush",
"trapActivation",
"pypi",
"docker",
"systemProfile"
]
},
"encryption": {
"enabled": true,
"scheme": "Fernet"
}
}
GitHubはまた、ファイルに隠れたり双方向Unicodeテキストが含まれており、ブラウザで表示されるものと異なる方法で解釈される可能性があることを警告した。
このPR活動は、登録公開を超えたキャンペーンを示しています。攻撃者は、AI向けのプロジェクトファイルが通常のオープンソース貢献ワークフローを通じて導入できるかどうかをテストしているようです。キャンペーンに関連する指示を、後でAIコーディングツールが読み取って適用できる場所に置いています。
TrapDoorは、攻撃者が従来のパッケージタイプスキャッティングと新しい開発者環境攻撃経路を組み合わせてどうやって行っているかを示しています.
パッケージ名は暗号開発、AIツール、ローカル環境設定、セキュリティワークフローに関連しているようにカスタマイズされています。マルウェアはその後、エコシステム固有の実行経路を使用します:build.rs Rustで、npmのpostinstallフックで、Pythonでのインポート時実行です。
エコシステム横断構造も、単一のレジストリのビューからキャンペーンを見つけることをより難しくしています。Crates.ioパッケージは、一致するインフラストラクチャ、ペイロードマーカー、行動がnpmとPyPIパッケージに接続するまで、孤立しているように見えるかもしれません。
セキュリティチームにとって、重要なのは現代のサプライチェーン攻撃が、ますます開発者のフルワークフローを意図的に設計されているということです。パッケージのインストールは最初のステップに過ぎません。それ以降、攻撃者はAIアシスタントの設定、シェル環境、Gitフック、SSHアクセス、ブラウザプロファイル、クラウド資格情報、暗号資産ウォレットを狙っています.
ソケットでトラップドアが検出されました。PyPI、npm、およびCrates.ioを通じて行動的およびクロスレジストリ分析を行いました。最も早く観測されたパッケージはeth-security-auditor@0.1.0で、PyPIに2026年5月22日20:20:18 UTCにアップロードされました。
より広範なキャンペーンの関連性がCrates.ioの間で明らかになりました。 の波は、SuiとMove開発者を対象とした一連のRustパッケージが、関連するnpmとPyPIパッケージとインフラストラクチャおよび行動の重複を示したときに発生しました。そのクロスレジストリパターンは、最初は孤立した悪意のあるパッケージに見えたものを、協調したキャンペーンに結びつけました。
381件のパッケージバージョン記録に完全なタイムスタンプがあり、ソケットは平均5分56秒でTrapDoorのリリースを検知し、中央値は5分27秒でした。最速の検知は公開後58秒でした.
この活動をTrapDoor Crypto Stealer Campaignページで追跡しています。
ソケットはすべての特定されたキャンペーンパッケージを悪意のあるものとして分類しました。私たちは特定された悪意のあるパッケージを影響を受けたレジストリに報告し、引き続き関連するパッケージ、バージョン、およびTrapDoorに関連するインフラを監視しています。
影響を受けたパッケージの読み込み中…
ドメインとインフラ:
ddjidd564[.]github[.]ioddjidd564[.]github[.]io/defi-security-best-practices/ddjidd564キャンペーンのマーカーとファイル:
P-2024-001trap-core.jstrap-core.js サイズ:48485 バイトcargo-build-helper-2026持続性と拡散経路:
.cursorrulesCLAUDE.mdこのコンテンツは慣性聚合(RSSリーダー)によって自動集約されています。参考としてご覧ください。 原文出典 — 著作権は原著者に帰属します。