Notebookcheck Logo

TrapDoor postanowił zatruć narzędzia do kodowania AI

Złośliwe pakiety wykryte w npm, PyPI i Crates.io w kampanii łańcucha dostaw TrapDoor.
ⓘ www.magnific.com
Złośliwe pakiety wykryte w npm, PyPI i Crates.io w kampanii łańcucha dostaw TrapDoor.
TrapDoor umieszcza 34 złośliwe pakiety w npm, PyPI i Crates.io, których celem są programiści kryptowalut i sztucznej inteligencji w celu kradzieży portfeli, kluczy SSH i danych uwierzytelniających w chmurze.
Desktop Workstation Security Software Laptop / Notebook Hack / Data Breach

Trzydzieści cztery złośliwe pakiety. Trzy rejestry. Firma Socket Security publicznie nazwała kampanię 25 maja 2026 roku. Operacja o kryptonimie TrapDoor pozostawiła najwcześniejsze ślady 19 maja, a główna fala pojawiła się 22 maja o godzinie 20:20 UTC. Do czasu opublikowania Socket, 384 wersje zostały wypchnięte przez npm, PyPI i Crates.io.

Co kradnie TrapDoor i jak działa

Pierwszym potwierdzonym pakietem był eth-security-auditor na PyPI. Szybko pojawiły się dziesiątki we wszystkich trzech rejestrach z klastra kont pracujących w seriach. Nazewnictwo jest celowe: prompt-engineering-toolkit, defi-threat-scanner, wallet-security-checker, solidity-deploy-guard. Każdy z nich jest rutynowym narzędziem w przepływach pracy kryptowalut, DeFi, Solana lub AI. Ładunek jest spójny we wszystkich 384 wersjach: portfele kryptowalut, klucze SSH, dane uwierzytelniające w chmurze, tokeny AWS i GitHub, dane przeglądarki i zmienne środowiskowe.

Pakiety Npm upuszczają trap-core.js za pośrednictwem haków postinstalacyjnych. Weryfikuje on skradzione tokeny w oparciu o działające punkty końcowe AWS i GitHub i kopie za pośrednictwem zadań cron, systemd, haków Git i SSH. Pakiety PyPI uruchamiają się podczas importu, pobierając ładunek JavaScript z kontrolowanej przez atakującego domeny GitHub Pages, hostowanej zewnętrznie, aby atakujący mógł ją zaktualizować bez dotykania PyPI. Pakiety Crates.io używają skryptu build.rs, lokalizują lokalne magazyny kluczy i przesyłają zaszyfrowane XOR dane do GitHub Gists. Średni czas wykrycia Socket wyniósł pięć minut i 27 sekund. Weekendowy czas był zamierzony.

Zagrożenie związane z kodowaniem AI

TrapDoor umieszcza również pliki .cursorrules i CLAUDE.md w docelowych repozytoriach, ukrywając instrukcje w znakach Unicode o zerowej szerokości. Asystent kodowania AI czytający te pliki widzi rutynowe skanowanie bezpieczeństwa. Uruchomienie go powoduje eksfiltrację sekretów z lokalnego komputera.

Atakujący otworzył pull requesty dla BrowserUse, LangChain i LangFlow, aby sprawdzić, czy pliki te przetrwają normalny przegląd kodu. Jeśli zostaną one scalone, każdy programista, który otworzy repozytorium za pomocą narzędzia do kodowania AI, stanie się celem ataku. Powierzchnią ataku jest edytor, a nie rejestr.

Aby dowiedzieć się, w jaki sposób narzędzia dla programistów stały się główną powierzchnią ataku w 2026 r., proszę zapoznać się z naszą relacją na temat Naruszenie rozszerzenia VS Code który uderzył w GitHub, OpenAI i Mistral AI:

Google LogoAdd as a preferred source on Google
Mail Logo

Powiązane artykuły

> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2026 05 > TrapDoor postanowił zatruć narzędzia do kodowania AI
Darryl Linington, 2026-05-26 (Update: 2026-05-26)