後門惡意程式：針對加密開發者的龐大供應鏈攻擊

Soclet 的調查人員發現了一種新的供應鏈攻擊，目標是使用 npm、PyPI 和 Crates.io 套件的加密貨幣開發者。該行動被稱為 Trapdoor，重點是竊取加密錢包金鑰與其他機密資訊，目標是加密領域的開發者。

• 重點整理：
• • 5 月 22 日，Socket 發現 Trapdoor 惡意程式感染了 34 個開發者套件，用於竊取加密錢包與金鑰。
• • 該行動橫跨 384 個版本，會誘騙 AI 工具，並嚴重衝擊開發市場。
• • 在類似的 9 月攻擊之後，Socket 警告開發者必須進一步從加密竊取中保護 AI 環境。

供應鏈攻擊方案 Trapdoor 目標鎖定開發者以達到最大效能

雖然有些惡意程式行動會針對日常的加密貨幣使用者，但也有其他行動聚焦在開發者，目標是鎖定更有可能持有大量加密貨幣、並且能夠接觸更廣泛資源的對象。

專門防範供應鏈攻擊的公司 Socket 研究人員，已辨識出一項針對加密貨幣開發者的廣泛行動，透過在 npm、PyPI 和 Crates.io 等環境中感染套件來實施。

該攻擊被稱為 Trapdoor，橫跨這些開發環境中的 34 個套件，涵蓋超過 384 個版本，其中一些仍可取得。Socket 表示，受影響套件是在 5 月 22 日起分波發布，並在接下來的週末期間持續更新。

這些套件因其性質而引人注意，據稱它們代表通用的開發者工具，且在不同註冊中心中快速相繼出現。Socket 的評估指出，這讓該行動能夠「在相鄰的開發者社群中擴展廣泛觸及，而加密錢包、雲端憑證、Github token 與 SSH 金鑰很可能存在於其中」。

受感染的套件會入侵加密貨幣開發者的開發環境，利用這些據稱的開源工具，竊取機密資訊、加密錢包、安全外殼（SSH）金鑰與其他相關資料。

Trapdoor 受感染套件也試圖利用 AI 工具協同其攻擊，透過指令檔來欺騙 AI 程式編寫工具，使其執行安全掃描並外洩高度敏感的資料。

Socket 表示，雖然這項技術無法在所有 AI 工具與模型中穩定運作，但其存在顯示攻擊者正「在供應鏈惡意程式行動的一部分中，積極實驗 AI 開發環境」。

供應鏈攻擊變得越來越常見。9 月時，加密貨幣社群曾接獲類似駭客事件的警示：有數個供加密錢包使用的套件遭到入侵與修改，目的在於從包含比特幣、以太幣與 solana 等（以及其他數位資產）錢包中竊取加密貨幣資金。