后门恶意软件：针对加密开发者的巨大全供应链攻击

Soclet 的调查人员发现了一种新的供应链攻击，针对使用 npm、PyPI 和 Crates.io 包的加密货币开发者。该活动被称为 Trapdoor，重点是从加密领域的开发者处窃取加密钱包密钥和其他机密信息。

• 要点：
• • 5 月 22 日，Socket 发现 Trapdoor 恶意软件感染了 34 个开发者包，用于窃取加密钱包和密钥。
• • 覆盖 384 个版本，该活动欺骗 AI 工具，并严重影响开发市场。
• • 在类似的 9 月攻击之后，Socket 警告开发者必须进一步从加密盗窃中保护 AI 环境。

供应链攻击方案 Trapdoor 以最大化性能为目标打击开发者

尽管有些恶意软件活动针对日常加密货币用户，但也有一些将目标锁定在开发者身上，试图利用被害者更有可能持有大量加密货币，并且能够接触到更广泛的资源。

专注于防止供应链攻击的公司 Socket 的研究人员已识别出一场针对加密货币开发者的广泛活动：通过感染的包，覆盖 npm、PyPI 和 Crates.io。

该活动名为 Trapdoor，供应链攻击在这些开发环境中共涉及 34 个包，覆盖超过 384 个版本，其中一些仍在可用。Socket 表示，受影响的包从 5 月 22 日开始分批发布，随后在接下来整个周末期间持续更新。

这些包之所以引人注目，是因为其本质据称是通用的开发者工具，并且在不同的注册平台上以较快的节奏相继出现。这使得该活动“能够在相邻的开发者社区中实现广泛覆盖”，其中“加密钱包、云凭据、Github token 和 SSH 密钥很可能存在”，socket 评估称。

受感染的包会入侵加密货币开发者的开发环境，利用这些据称的开源工具，获取机密信息、加密钱包、安全外壳（SSH）密钥以及其他相关数据。

Trapdoor 还感染的包试图借助 AI 工具协同其攻击，使用指令文件诱骗 AI 编码工具运行安全扫描并外传高度敏感的数据。

Socket 表示，尽管这种技术无法在所有 AI 工具和模型中稳定工作，但其存在表明攻击者**“正在将 AI 开发环境作为供应链恶意软件活动的一部分进行积极试验。”**

链式攻击正变得更常见。9 月，加密货币社区曾被提醒发生类似的入侵：一些被加密钱包使用的包遭到破坏并被修改，以从包含比特币、以太坊和 Solana 等资产的钱包中窃取加密货币资金。