文章总结： Socket公司发现名为TrapDoor的跨生态系统供应链攻击，通过npm、PyPI和Crates.io分发34个恶意包的384个版本，针对加密和AI开发者窃取凭据、钱包密钥等数据。攻击利用postinstall钩子、build.rs脚本和导入时执行机制，并首次使用.cursorrules文件欺骗AI工具执行恶意指令。建议开发者检查依赖包来源并使用安全扫描工具。 综合评分： 78 文章分类： 供应链安全,恶意软件,漏洞预警,解决方案,安全运营

TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件

Ravie Lakshmanan Ravie Lakshmanan

代码卫士

2026年5月26日 16:22 北京

在小说阅读器读本章

去阅读

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Socket公司的研究员发现一起新的跨生态系统软件供应链协同攻击，它通过 npm、PyPI 和 Crates.io 传播凭据窃取恶意软件。该攻击活动被称为 “TrapDoor”，涉及超过384个版本的34款恶意包。

TrapDoor攻击最早源于2026年5月22日20:08（UTC 时间），恶意包通过一批账户快速分批发布到各个生态系统。研究人员提到，该攻击针对的是位于加密、DeFi、Solana 和 AI 社区的开发人员，这些恶意包旨在窃取开发者的机密信息、加密钱包、SSH密钥、云凭据、浏览器数据和环境变量。其中多个 npm 包还部署了一个共享载荷 trap-core.js，该载荷会扫描凭据、验证 AWS 和 GitHub 令牌、尝试基于 SSH 的横向移动，并通过 .cursorrules、CLAUDE.md、Git hooks、shell hooks、systemd、cron 和 SSH 等方式植入持久化机制。

值得注意的是，该活动与 HUMAN 公司 Satori 威胁情报与研究团队上周披露的同名攻击活动无关。后者的行为是通过 Google Play 商店分发 455 款 Android 应用进行广告欺诈。

目前已识别出的恶意包如下：

（1）   Crates.io

• move-analyzer-build
• move-compiler-tools
• move-project-builder
• sui-framework-helpers
• sui-move-build-helper
• sui-sdk-build-utils

（2）   npm

• async-pipeline-builder
• build-scripts-utils
• chain-key-validator
• crypto-credential-scanner
• defi-env-auditor
• defi-threat-scanner
• deployment-key-auditor
• dev-env-bootstrapper
• eth-wallet-sentinel
• llm-context-compressor
• mnemonic-safety-check
• model-switch-router
• node-setup-helpers
• project-init-tools
• prompt-engineering-toolkit
• solidity-deploy-guard
• token-usage-tracker
• wallet-backup-verifier
• wallet-security-checker
• web3-secrets-detector
• workspace-config-loader

（3）   PyPI

• cryptowallet-safety
• data-pipeline-check
• defi-risk-scanner
• env-loader-cli
• eth-security-auditor
• git-config-sync
• solidity-build-guard

TrapDoor攻击活动的显著特点在于它多样化的投递路径：利用 postinstall 钩子、在包导入时执行的远程 JavaScript 载荷，以及针对 Sui 和 Move 开发者的恶意 build.rs 脚本。这些恶意包伪装成看似无害的工具，使攻击者能够覆盖广泛的受众。

研究人员发现，npm 包会运行一个名为 trap-core.js 的 JavaScript 载荷。该载荷会扫描凭据和开发者机密信息，通过调用 AWS 和 GitHub API 验证窃取的凭证，并利用 cron 作业、systemd 服务、Git 钩子在主机上建立持久化机制，同时通过 SSH 在网络中横向移动。

Rust 包（crates）也采取了类似手法，会搜索本地的密钥库，使用硬编码的 XOR 密钥对数据进行加密，然后将数据外泄至 GitHub Gists。另外这些包会使用构建脚本（“build.rs”）来触发恶意代码的执行。

TrapDoor 相关的 Python 包被设计为在导入时自动执行。这些包的主要目标是从攻击者控制的 GitHub Pages 域名（ddjidd564.github[.]io）下载 JavaScript，并使用 node -e 命令运行。研究人员解释称：“这种技术使得 Python 包可以将执行任务委托给远程的 JavaScript 载荷，从而让攻击者在包发布后拥有更大的灵活性。通过将载荷托管在外部，攻击者无需发布新的 PyPI 版本即可更新恶意行为。”

该攻击活动的一个不寻常之处在于，它植入了包含隐藏指令的 .cursorrules 和 CLAUDE.md 文件，从而欺骗人工智能助手执行“安全扫描”，最终导致机密信息被发现和外泄。这一过程是通过在多个流行的 AI 及开发者项目中提交 GitHub Pull Request 实现的，这些项目包括 browser-use/browser-use、langchain-ai/langchain 和 langflow-ai/langflow。

这些 PR 活动表明，TrapDoor 攻击的目的已不再仅限于向开源生态推送恶意软件包。研究人员指出，威胁行动者很可能正在测试能否通过常规的开源贡献工作流引入与 AI 相关的项目文件，从而诱使 AI 编码工具解析这些隐藏指令并加以执行。

TrapDoor 攻击活动再次表明，威胁行动者正越来越多地将攻击目标锁定在开发者工作流上，窃取各类信息，以便进一步深入目标环境，实施后续攻击。

研究人员认为，“TrapDoor 攻击展示了攻击者如何将传统的包名称仿冒（typosquatting）与新型的开发者环境攻击路径相结合。这些恶意包的名字经过刻意设计，使其看起来与加密开发、AI 工具、本地环境搭建和安全工作流相关。随后，恶意软件利用各生态系统特有的执行路径：Rust 中的 build.rs、npm 中的 postinstall 钩子，以及 Python 中的导入时执行。”

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

在线阅读版：《2025中国软件供应链安全分析报告》全文

自动化供应链攻击6小时内攻陷5561个 GitHub 仓库

GitHub 被黑或因员工安装 Nx Console 恶意扩展引发，更多详情待调查

GitHub 内部仓库疑遭未授权访问，TeamPCP 据称正在出售 GitHub 内部源代码

奇安信Qcode Agents重磅升级，正式解锁操作系统级漏洞挖掘能力

Grafana 令牌被盗，GitHub 环境可遭访问且代码库被下载

TeamPCP再发动供应链攻击；数百个恶意包被上传，RubyGems 暂停新账号注册

Checkmarx 再遭攻击，Jenkins AST 插件受陷

Go 流行库 fsnotify 的维护人员访问权限变更，拉响供应链攻击警报

Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险

自传播供应链蠕虫劫持 npm 包，窃取开发人员令牌

Axios 严重漏洞可导致 RCE

Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

原文链接

https://thehackernews.com/2026/05/trapdoor-supply-chain-attack-spreads.html

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan Ravie Lakshmanan《TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件》