TrapDoor供应链攻击：34个恶意套件专偷加密钱包、在CLAUDE.md埋隐藏指令

TrapDoor供应链攻击锁定开发者，部署34个恶意套件窃取加密钱包与密钥。黑客更在配置文件埋入隐藏指令，劫持Claude等AI助手窃取机密，开发者务必严防。

TrapDoor供应链攻击曝光：锁定加密货币与AI开发者

安全公司Socket Security最新的报告揭露，一个代号为「TrapDoor」的供应链攻击正在迅速扩散。

Socket Security指出，TrapDoor攻击已经在npm、PyPI和Crates.io等三大开发者套件管理系统中，部署了超过34个恶意套件以及384个以上的相关版本，目标锁定加密货币、去中心化金融（DeFi）、AI以及安全领域的开发人员。

• 点这里看Socket Security整理的恶意套件与版本清单

这些恶意套件的设计目的，是为了广泛收集开发者的机密信息。黑客企图窃取的资料包含SSH密钥、云端服务的凭证、GitHub访问权限、浏览器资料、应用程序接口密钥，以及包含Solana、Sui与Aptos等生态系的加密货币钱包资料。

黑客收集敏感数据后，可以直接窃取加密资产，也可能将受害开发者的电脑作为跳板，进一步渗透到其他基础设施中。

TrapDoor的潜伏手法与AI劫持机制

在TrapDoor攻击中，黑客精心设计了套件名称，让它看起来像是合法的开发辅助工具。例如在npm系统中的crypto-credential-scanner或在Crates.io的sui-move-build-helper，让开发人员在正常的项目构建过程中不小心下载并执行恶意代码。

Socket Security表示，这些恶意软件会利用各个生态系的特定执行路径来触发，例如npm的安装后钩子、Python的导入时执行，以及Rust的build.rs编译脚本。

这次攻击行动最引人注目的特点，是针对AI辅助写程式工具的劫持机制。黑客会在项目文件如.cursorrules或CLAUDE.md中，植入包含零宽度Unicode字符的隐藏指令。

Socket Security技术长Ahmad Nassri指出，黑客的目标是欺骗Claude和Cursor等AI程序设计助理，诱使这些AI工具在开发环境中执行系统安全扫描。实际上，这些扫描动作会在后台悄悄收集，并外泄开发者的机密设定与环境变量。

图源：SocketAUDIT-MATRIX.md档案中，概述了TrapDoor恶意软件攻击的预订提取框架

研究人员还发现，黑客甚至在GitHub上对多个知名的AI与开发者开源项目发起拉取请求（Pull Request，简称PR），企图以新增开发标准与构建验证等看似正当的理由，将带有隐藏恶意指令的档案混入正常的开源工作流程中。

若开发团队接受这些请求，未来使用AI工具读取该项目的程序设计师，就会在不知情的情况下触发资料外泄机制。

最近的TanStack套件投毒，也锁定AI生态

近期，针对开发环境的供应链攻击正变得越来越频繁且复杂。

最近就发生针对TanStack套件的大规模供应链攻击，黑客组织同样锁定AI生态系，并通过在VS Code与Claude Code等编辑器环境中挂载恶意程式码，窃取开发者的GitHub存取权限与云端凭证。

知名冷钱包制造商Ledger的技术长Charles Guillemet对此类攻击表示，黑客的技术已经变得极其强大，防御难度也随之增加。

• **相关报道：**Claude Code用户小心！TanStack NPM遭黑投毒，每周下载高达1270万次

供应链攻击频传，下载套件、接受PR要谨慎

黑客正积极结合传统的套件名称误植手法，与新型态的AI环境攻击路径。由于GitHub等平台已被攻击者利用来存放恶意负载与传播配置档，开发团队在引入任何外部依赖项或接受拉取请求时，都必须进行更严格的安全审查。

**软件安装只是攻击的第一步，后续针对AI配置档、系统排程与网络连接的潜伏，让安全防护面临更大挑战。**开发者在下载各大管理系统的开源套件时，应仔细核对套件名称、发布者来源与相关基础设施的安全性，以避免沦为供应链攻击的受害者。