TrapDoor供應鏈攻擊透過NPM、PyPI、Crates散布竊資軟體

來源: iThome | 日期: 2026-05-26 | URL: https://www.ithome.com.tw/news/176113 揭露者: Socket Security

摘要

TrapDoor攻擊行動在NPM、PyPI、Crates.io三大套件倉庫同步散布竊資惡意軟體,共34個惡意套件、至少384個惡意版本,鎖定加密貨幣、DeFi、Solana、AI社群開發者。

攻擊概覽

  • 攻擊行動名稱: TrapDoor
  • 目標平台: NPM、PyPI、Crates.io(三平台同時)
  • 惡意套件數: 34個套件,至少384個惡意版本
  • 目標族群: 加密貨幣、DeFi、Solana、AI社群開發者

竊取目標

  • 加密貨幣錢包
  • SSH 金鑰
  • 雲端憑證(AWS、GitHub token)
  • 瀏覽器資料
  • 環境變數

技術手法

橫向移動與持久化

  • 驗證 AWS 與 GitHub token 有效性
  • 透過 SSH 連線橫向移動
  • 持久化機制:Git 掛鉤、shell 掛鉤、systemd、cron

特殊:AI 提示注入攻擊

利用零寬度 Unicode 字元植入隱藏指令,誘使 AI 助理執行安全掃描,藉此找到機密資料並外洩

現狀

  • 偽裝成通用開發工具,於多平台快速連續出現
  • NPM、PyPI、Crates.io 已下架部分套件,仍有未移除者

衍生頁面