恶意软件侵扰加密货币开发者工具供应链

核心事实：恶意软件包侵袭开发者生态系统

开发平台Socket于近日披露，一项活跃的供应链攻击正在针对加密货币与人工智能开发者。该攻击被命名为“TrapDoor”，截至发现时已部署超过34个恶意软件包及384个相关版本。攻击者持续向多个生态系统推送新发布内容。

据Socket首席技术官Ahmad Nassri透露，TrapDoor恶意软件旨在窃取钱包数据、SSH密钥、云凭证、GitHub代币、浏览器扩展数据以及API密钥。受影响的加密钱包包括Coinbase、Binance、Solana、Sui、Aptos和MetaMask，同时也针对Brave浏览器。此外，该恶意软件还会向AI编程助手Claude和Cursor注入隐蔽指令，诱导其执行所谓“安全扫描”的工作流，从而实现数据窃取。

背景与上下文：伪装为开发工具的恶意代码

恶意软件包被精心伪装成“开发辅助工具、项目配置工具、模型路由实用程序、提示工程包、Solidity工具包以及Sui/Move构建助手”等类型，以吸引开发者主动安装。这些包主要出现在npm（JavaScript/Node.js开发者的包仓库）、PyPI（Python开发者仓库，广泛用于数据科学和AI）以及Crates（Rust开发者仓库）中。

GitHub平台被用于分发这些恶意软件包，Socket指出攻击似乎带有AI辅助的特征。GitHub上的活动显示出快速迭代的迹象：广泛的安全主题框架、通用的诱饵仓库、提示注入文档，以及部分实现的概念提取与正常恶意代码组件混合使用。

影响分析：开发者安全漏洞的持续升级

加密货币与AI开发者日益成为恶意攻击目标。攻击者将有毒软件包加载到开发者“应用商店”中，而开发者通常会在日常工作流中直接安装而不进行检查。这种供应链攻击方式覆盖了多个相邻的开发者社区，其中极有可能存在加密钱包、云凭证、GitHub代币和SSH密钥等敏感信息。

值得关注的是，GitHub本身曾在5月20日报告因员工设备失窃而导致内部存储库未经授权访问的事件。这一系列事件表明，开发者生态系统的安全性面临持续挑战。

风险提示：加密货币与AI开发工具供应链的安全问题凸显，开发者在引入第三方包时应加强审核，注意核对包名称、来源及最近更新记录。同时，注意保护本地存储的私钥和凭证，避免在未经验证的环境中运行代码。

本文译自Cointelegraph，查看原文