资安公司Socket揭露TrapDoor供应链攻击:明确锁定Sui、Solana与Aptos的加密货币钱包
时间:2026-05-26
来源:鸭鸭软件站
作者:佚名
根据资安公司Socket与The Block,研究员揭露一个名为「TrapDoor」的供应链攻击行动,锁定加密货币、DeFi、Solana与AI开发者,把恶意程序伪装成一般开发工具与资安扫描器。
34个以上恶意套件,横跨npm、PyPI、Crates.io
TrapDoor涉及超过34个恶意套件、384个以上的相关版本与档案,散布于npm、PyPI与Crates.io三大套件库。最早被发现的是5月22日上传到PyPI的eth-security-auditor套件。攻击者依不同生态使用对应的执行手法:Rust用build.rs、npm用postinstall钩子、Python则在汇入时执行。
锁定Sui、Solana、Aptos钱包与SSH金钥
这套恶意程序会大量窃取开发者资料,明确锁定Sui、Solana与Aptos的加密钱包,以及SSH金钥、浏览器设定档与AWS环境变数。加密手法上,Crates.io的套件使用硬编码金钥的XOR加密,npm版本则用上更复杂的Fernet与ECDH加密。
用零宽字元在CLAUDE.md、.cursorrules植入隐藏指令
最值得警惕的是针对AI工具的手法:TrapDoor会用「零宽字元」(zero-width Unicode)在.cursorrules与CLAUDE.md等档案中植入肉眼看不见的隐藏指令。这些档案常被用来给Cursor、Claude Code等AI编程助手项目层级的指引,等于把AI助手也纳入攻击面。对开发者而言,安装任何来路不明的套件、或沿用他人的AI设定档前,都应提高警觉。
