原文:‘TrapDoor’ malware targets crypto dev tools in supply chain attack
Socket 表示,恶意软件包活动旨在窃取加密货币,并注入隐藏指令来劫持流行的人工智能编码助手。
开发者平台 Socket 表示,活跃的供应链攻击针对的是加密货币和人工智能开发人员,旨在窃取加密货币、数据或凭证。
Socket 在周日的一份报告中表示,它在周五发现了这个被称为“TrapDoor”的恶意软件活动,该活动已经部署了超过 34 个恶意软件包和 384 个相关版本,攻击者反复在整个生态系统中推送新版本。
Socket 表示,TrapDoor 的目标是加密货币、去中心化金融、人工智能和安全开发人员,窃取钱包数据、Secure Shell 或 SSH 密钥、云凭证、GitHub 令牌、浏览器扩展数据和 API 密钥。
Socket 首席技术官 Ahmad Nassri 周日表示,除了 Brave 互联网浏览器外,该恶意软件还针对流行的加密钱包,包括 Coinbase、Binance、Solana、Sui、Aptos 和 MetaMask。
Nassri 表示,该恶意软件会注入隐藏指令来“劫持你的人工智能编码助手”,目标是 Claude 和 Cursor。 Socket 说:“目标似乎是欺骗人工智能助手运行‘安全扫描’或类似的工作流程,从而导致秘密发现和泄露。”
来源:套接字
加密货币和人工智能开发人员越来越多地成为目标,因为恶意行为者一直将有毒的软件包加载到开发人员的“应用程序商店”中,因为他们知道他们将安装它们作为正常工作流程的一部分,通常不进行检查。
TrapDoor 专门针对流行的开发人员资源,例如 npm(节点包管理器),这是面向 JavaScript/Node.js 开发人员的包存储,是大多数网站和 Web 应用程序背后的语言。
它也出现在 PyPI 中,它相当于 Python 开发人员,广泛应用于数据科学、人工智能和自动化,以及 Crates,对于 Rust 开发人员来说也是如此。
相关:GitHub 调查未经授权访问内部存储库的行为
的