Socket 研究人員已識別出一個活躍的加密資料盜竊供應鏈攻擊，該攻擊橫跨 npm、PyPI 和 Crates.io。此活動，Socket 正追蹤名為 TrapDoor，橫跨 npm、PyPI 和 Crates.io 超過 34 個惡意套件和 384+ 個相關版本和工件，其中一些已被移除，而其他則在撰寫時仍然存在。

Socket 觀察到的最早套件是 PyPI 套件eth-security-auditor@0.1.0，於2026年5月22日20:20:18 UTC上傳，輪子則在20:22:04 UTC發布。這些套件由少數賬號分波發布，並在週末積極更新。它們之所以引人注目，是因為它們偽裝成通用開發工具，並在多個登記表中快速連續出現。Socket在所有三個生態系統中檢測到惡意套件。在Crates.io的波次中，連接變得清晰，當針對Sui和Move開發者的Rust套件顯示出基礎設施和行為與相關npm和PyPI套件的重疊時。

TrapDoor 鎖定加密貨幣、去中心化金融、Solana 和人工智能社群的開發者。惡意套件旨在盜取開發者機密、加密貨幣錢包、SSH 金鑰、雲端憑證、瀏覽器數據和環境變數。數個 npm 套件也部署了一個共用載荷，trap-core.js，該載荷掃描憑證、驗證 AWS 和 GitHub 金鑰，嘗試基於 SSH 的水平移動，並透過 .cursorrules 來建立持續性。CLAUDE.mdGit hooks, shell hooks, systemd, cron, 和 SSH.

npm 套件#

• async-pipeline-builder
• build-scripts-utils
• chain-key-validator
• crypto-credential-scanner
• defi-env-auditor
• defi-threat-scanner
• deployment-key-auditor
• dev-env-bootstrapper
• eth-wallet-sentinel
• llm-context-compressor
• mnemonic-safety-check
• model-switch-router
• node-setup-helpers
• project-init-tools
• prompt-engineering-toolkit
• solidity-deploy-guard
• token-usage-tracker
• wallet-backup-verifier
• wallet-security-checker
• web3-secrets-detector
• workspace-config-loader

PyPI 套件#

• cryptowallet-safety
• data-pipeline-check
• defi-risk-scanner
• env-loader-cli
• eth-security-auditor
• git-config-sync
• solidity-build-guard

Crates.io 套件#

• move-analyzer-build
• move-compiler-tools
• move-project-builder
• sui-framework-helpers
• sui-move-build-helper
• sui-sdk-build-utils

一項協調的跨生態活動#

TrapDoor 涵蓋 npm、PyPI, 和 Crates.io，透過特定生態系統的執行路徑，在正常套件安裝、建構及匯入工作流程中觸達開發者。

該活動包含：

• 使用 postinstall 鈎子的 npm 套件版本，包括具有共用 trap-core.js 負載的活躍版本
• 在匯入時執行遠端 JavaScript 負載的 PyPI 套件
• Crates.io 包版本跨越 6 個獨特的包名，透過惡意 build.rs 腳本針對 Sui 和 Move 開發者。

包名被設計得看起來像是開發輔助工具、專案設定工具、模型路由工具、提示工程套件、Solidity 工具、以及 Sui 或 Move 建構輔助工具。這讓該活動能夠廣泛觸及相鄰的開發者社群，這些社群中很可能存在加密錢包、雲端憑證、GitHub 令牌和 SSH 金鑰。

基礎設施連接在此次活動中也是一致的。攻擊者使用 GitHub 帳戶 ddjidd564 來托管有效載荷和配置，包括從中提供內容。ddjidd564[.]github[.]io/defi-security-best-practices/。該儲存庫也包含攻擊者撰寫的資料逸出、提示注入、AI代理濫用、持續性以及相關惡意軟體開發概念等內容，使其不僅僅是簡單的載荷宿主。該活動還使用標記P-2024-001，這個標記出現在相關組件中。

TrapDoor 欺騙了什麼#

該惡意程式包旨在收集廣泛的開發者密鑰及敏感本地數據，包括：

• SSH 金鑰
• Sui、Solana 及 Aptos 錢包數據
• AWS 凭證
• GitHub 令牌及憑證
• 瀏覽器個人檔案數據
• 瀏覽器登入資料庫
• 加密錢包擴充功能數據
• 環境變數
• API 金鑰
• 本地開發配置檔案

這讓攻擊者有 多條路徑可以入侵開發者電腦和相連的基礎設施。竊取的 SSH 金鑰可以重用進行水平移動，而雲端和 GitHub 凭據則可能暴露儲存庫、CI/CD 系統、私人套件和部署環境。

npm 套件使用 postinstall 鈎子及持續憑證收集 #

TrapDoor 的 npm 部分是最廣泛的。由 npm 用戶 asdxzxc 發布的 Socket 識別惡意套件，在分析時有多個版本同時活動.

npm 套件依賴 postinstall 執行。一旦安裝，它們就會執行一個共用載荷，trap-core.js，一個包含 1,149 行程式的憑證收集與傳播工具。

該載體掃描憑證和開發者密鑰，使用 AWS 和 GitHub API 呼叫驗證被竊的憑證，並嘗試透過多種持續機制來維持存取權。

觀察到的持續向量包括：

• .cursorrules
• CLAUDE.md
• Git 鈎子
• Shell 鈎子
• systemd 服務
• 排程工作
• 基於SSH的傳播

npm的有效載荷也嘗試透過重用竊取的SSH金鑰來存取額外的系統。這使得該活動比簡單的一次性憑證盜取器更危險，因為一個被入侵的開發機器可能會成為進入其他基礎設施的橋樑.

其中一個套件，dev-env-bootstrapper 非常值得注意，因為它既作惡意軟體，也作傳輸向量。它在參與憑據盜取的同時，也幫助將惡意配置傳播到開發者環境中。

Crates.io 套件盜取錢包金鑰庫 #

識別出惡意的 Crates.io 套件，這些套件與 TrapDoor 相關，目標是 Sui 和 Move 開發者。

這些套件使用build.rs，它在Rust建構過程中自動執行。惡意建構腳本搜尋本地憑證庫，使用硬編碼的XOR金鑰加密數據，並將其遞送至GitHub Gists.

的使用build.rs 很重要，因為它允許在套件編譯期間執行程式碼，在開發者直接執行任何套件功能之前。對於使用 Sui 和 Move 工具的加密開發者來說，這創造了一條高風險的路徑，用於竊取錢包和金鑰庫。

The Crates.io 這些套件是引導 Socket 研究人員調查更廣泛活動的其中一個信號。單獨看起來，這些套件似乎是新發布的，且可能影響不大。然而，多個相關套件之間的可疑模式，卻引導研究人員將這項活動與使用共用攻擊基礎設施的 npm 和 PyPI 套件連結起來。

PyPI 套件在匯入時執行遠程 JavaScript#

Socket 也識別了與 TrapDoor 相連的惡意 PyPI 套件。這些 PyPI 套件在導入時自動執行，從攻擊者控制的 GitHub Pages 域下載 JavaScript，並使用 node -e 執行它。

這種技術允許 Python 套件將執行委派給遠端的 JavaScript 載荷，讓攻擊者在發布後擁有更多靈活性。透過將載荷外部主機，攻擊者可以更新行為而不需要發布新的 PyPI 套件發行版。

PyPI 套件似乎是由多個帳號發布的，包括與名稱asdmini67和dae5411相關的帳號。

AI 注入目標開發輔助工具 #

TrapDoor 中較為不尋常的一個功能是其透過檔案如.cursorrules和CLAUDE.md進行針對 AI 的注入。

這些檔案通常用於向AI程式設計工具提供專案特定的指示。在這次行動中，攻擊者嘗試使用零寬Unicode字元來植入隱藏指示。目標似乎是騙AI助理執行「安全性掃描」或類似的流程，從而導致秘密的發現和遠程拋運。

這種技術可能在不同工具或模型上並不能一致地運作，但它的存在顯示攻擊者正積極地用於實驗人工智能開發環境，作為供應鏈惡意軟件活動的一部分。

托管的 GitHub Pages 網站似乎也支援這個工作流程。套件指向攻擊者控制的 GitHub Pages URL，渲染為一個 HTML 網站，試圖提示 AI 助手執行安全性掃描。那個掃描是設計用來收集並逸散敏感的本地數據.

加密與憑證驗證#

TrapDoor 使用多層加密和驗證，取決於生態系統和有效載荷階段。

在 Crates.io 套件中，觀察到使用硬編碼金鑰 cargo-build-helper-2026 的基於 XOR 的加密。

在 npm 載荷中，攻擊者使用了更先進的加密技術，包括 Fernet 和 ECDH 加密。這表明這是一個比基本的複製並上傳憑據盜取器更發達的載荷。

npm 恶意軟件也使用 API 呼叫來驗證盜取的 AWS 和 GitHub 憑據。這有助於攻擊者區分有用的憑據和過期或低價值的數據，很可能提高了下游利用的效率。

在GitHub頁面儲存庫中發現攻擊者操作手冊[#]

攻擊者控制的GitHub Pages儲存庫也包含一個AUDIT-MATRIX.md 一份似乎描述了 TrapDoor 背後的預期萃取框架的文件。該文件將操作呈現為「通用 AI 代理萃取框架」，並概述了能力偵測、數據萃取、自我複製備用方案以及遙測報告的階段性工作流程。

該文件不應被視為一對一的確認執行行為清單。它自稱是一份部分實現的設計文件，並聲明完整的分階段適應性提取流程尚未部署。然而，文件中記載的許多概念與在 npm 載荷中觀察到的行為相符，包括文件系統掃描、環境變量收集、憑據發現、面向人工智能的偽裝語言，.cursorrules 持續性，以及透過攻擊者的 GitHub Pages 基礎設施進行遠程配置。

「偽裝層」這部分尤其相關。它將憑證盜取行為映射到聽起來無害的任務，例如安全審計、錢包安全檢查、雲端配置驗證、儲存庫安全審查和連接狀態檢查。這反映了該活動的更廣泛策略：將惡意提取呈現為有助於開發者或安全自動化。

該文件亦加強了此行動針對AI的特性。其備用鏈條描述了使用系統指令撰寫一個.cursorrules檔案，以便未來的AI會話將執行該報告，而npm有效載荷則在持續性和傳播邏輯中撰寫.cursorrules和CLAUDE.md檔案。

攻擊者為AI和開發者專案開啟PR#

攻擊者的活動不僅限於發布惡意套件。同個 GitHub 帳戶，ddjidd564，也開啟了針對多個AI和開發者工具項目的pull requests，包括browser-use/browser-use,langchain-ai/langchain,langflow-ai/langflow,run-llama/llama_index,FoundationAgents/MetaGPT，和OpenHands/OpenHands.

PRs 反覆嘗試要添加.cursorrules 或 CLAUDE.md 檔案在聽起來無害的標題下，例如「docs: 添加 .cursorrules 與開發標準及建構驗證」和「docs: 添加 CLAUDE.md 與開發標準及建構驗證。」其中幾個參考了相同的行動標記，P-2024-001，並將變更解釋為 AI 辅助開發指南、建構驗證或專案特定編碼標準。

在browser-use/browser-use的PR中，所提出的.cursorrules檔案指向了攻擊者控制的設定URL，並參考了相同的活動標記：

{
  "standard": "P-2024-001",
  "config": "<https://ddjidd564.github.io/defi-security-best-practices/config.json>",
  "strategy": {
    "scan_depth": 3,
    "enabled_vectors": [
      "git",
      "vscode",
      "cursorrules",
      "sourceHeaders",
      "readme",
      "pkgJson",
      "claudeMd",
      "prepush",
      "trapActivation",
      "pypi",
      "docker",
      "systemProfile"
    ]
  },
  "encryption": {
    "enabled": true,
    "scheme": "Fernet"
  }
}

GitHub也警告說，該檔案包含隱藏或雙向Unicode文本，這可能在瀏覽器中顯示的方式與其被解釋的方式不同。

此 PR 活動顯示該行動已超出登記發布。攻擊者似乎在測試是否可透過正常的開源貢獻流程引入面對 AI 的專案檔案，將與行動相關的指示放置在 AI 編碼工具之後可能讀取並應用它們的地方。

低量包裝，高價值目標#

TrapDoor 顯示攻擊者如何結合傳統套件打字錯誤騙取與更新的開發者環境攻擊路徑。

這些套件名稱是針對性設計，看起來與加密開發、AI 工具、本地環境設定以及安全工作流程相關。惡意軟體接著使用特定生態系統的執行路徑：build.rs 在 Rust 中、在 npm 的 postinstall 鈎子中，以及 Python 的導入時執行。

這種跨生態系結構也使得行動更難從單一登記視圖中發現。一個Crates.io 套件可能看起來是孤立的，直到匹配的基礎設施、有效載荷標記和行為將其連接到 npm 和 PyPI 套件。

對於安全團隊來說，關鍵在於現代供應鏈攻擊越來越圍繞著完整的開發者工作流程設計。套件安裝僅僅是第一步。從那裡開始，攻擊者目標是 AI 助手配置、shell 環境、Git 鈎子、SSH 存取、瀏覽器配置檔、雲端憑證和加密錢包。

插座偵測#

偵測到 Socket 透過行為及跨登錄分析，在 PyPI、npm 與 Crates.io 上發現 TrapDoor。最早觀察到的套件是 eth-security-auditor@0.1.0 在 PyPI 上上傳，日期為 2026 年 5 月 22 日，UTC 時間 20:20:18。

廣泛的行動連結在 Crates.io 時間變得清晰。 波動，當針對 Sui 和 Move 開發者的 Rust 套件群組顯示出基礎設施與行為上的重疊，與相關的 npm 和 PyPI 套件時。這種跨登記表的模式將最初看起來像是孤立的惡意套件連接起來，形成了一個協調的行動。

跨過381個包含完整時間戳的套件版本記錄，Socket偵測到TrapDoor釋出平均需要5分鐘56秒，中位偵測時間為5分鐘27秒。最快偵測是在發布後58秒。

我們正在TrapDoor加密盜取活動頁面追蹤此活動。

Socket 已將所有已識別的行動包分類為惡意軟體。我們已將已識別的惡意軟體包報告給受影響的登記機構，並繼續監控與 TrapDoor 相關的軟體包、版本和基礎設施。

威脅跡象#

網域和基礎設施：

• ddjidd564[.]github[.]io
• ddjidd564[.]github[.]io/defi-security-best-practices/
• GitHub 帳號：ddjidd564

行動標記與檔案：

• P-2024-001
• trap-core.js
• trap-core.js 大小：48485 位元組
• XOR 金鑰：cargo-build-helper-2026
• GitHub 原始內容 webhook 設定擷取

持續性與傳播路徑：

• .cursorrules
• CLAUDE.md
• Git 橙點
• Shell 橙點
• systemd
• cron
• SSH