TrapDoor供應鏈攻擊透過NPM、PyPI、Crates散布竊資軟體
來源: iThome | 日期: 2026-05-26 | URL: https://www.ithome.com.tw/news/176113 揭露者: Socket Security
摘要
TrapDoor攻擊行動在NPM、PyPI、Crates.io三大套件倉庫同步散布竊資惡意軟體,共34個惡意套件、至少384個惡意版本,鎖定加密貨幣、DeFi、Solana、AI社群開發者。
攻擊概覽
- 攻擊行動名稱: TrapDoor
- 目標平台: NPM、PyPI、Crates.io(三平台同時)
- 惡意套件數: 34個套件,至少384個惡意版本
- 目標族群: 加密貨幣、DeFi、Solana、AI社群開發者
竊取目標
- 加密貨幣錢包
- SSH 金鑰
- 雲端憑證(AWS、GitHub token)
- 瀏覽器資料
- 環境變數
技術手法
橫向移動與持久化
- 驗證 AWS 與 GitHub token 有效性
- 透過 SSH 連線橫向移動
- 持久化機制:Git 掛鉤、shell 掛鉤、systemd、cron
特殊:AI 提示注入攻擊
利用零寬度 Unicode 字元植入隱藏指令,誘使 AI 助理執行安全掃描,藉此找到機密資料並外洩
現狀
- 偽裝成通用開發工具,於多平台快速連續出現
- NPM、PyPI、Crates.io 已下架部分套件,仍有未移除者
衍生頁面
- TrapDoor供應鏈攻擊跨平台竊資惡意套件NPM PyPI Crates — 主要概念頁面
- socket-security — 揭露方
- npm — 受影響平台