要点摘要

一项新识别的供应链活动，名为 TrapDoor，已在主要注册库（npm、PyPI 和 Crates.io）分发超过 34 个恶意包，目标为加密和云开发者。这些包冒充为无害的开发实用程序和安全工具，但被设计用来收集 SSH 密钥、钱包文件、AWS 和 GitHub 凭证、浏览器数据以及其他敏感配置文件。 值得注意的是，攻击者还滥用 AI 配置文件（例如 .cursorrules 与 CLAUDE.md），在其中嵌入隐藏指令以操纵未来的 AI 编码会话，使其执行伪装成安全检查但实际上会外泄秘密的行为。

情感分析

• 整体情感：偏向混合到负面。该发现突显了开源供应链和开发环境中的严重安全风险，使开发者、安全和加密社区感到担忧。语调强调谨慎以及需要改进的审查、监控和防御措施。该活动的复杂性——使用平凡的包名并针对 AI 助手的配置文件——提升了对威胁的感知和修复的紧迫性。
• 70%

文章正文

安全研究人员发现了一项有针对性的供应链活动，称为 TrapDoor，该活动在知名的开源注册库中分发了数十个恶意包以攻陷开发者机器。这些包——总数超过 34 个，包含许多相关版本和产物——被放在 npm、PyPI 和 Crates.io，上面自称为普通的开发工具、安全扫描器、钱包实用程序和 AI 提示辅助工具。按设计，这些包看起来并不显眼，名称例如 "wallet-security-checker"、"defi-risk-scanner" 和 "llm-context-compressor"，增加了开发者在不加审查的情况下安装它们的可能性。

一旦安装，这些载荷的行为超出正常包的范围，会枚举并提取开发者工作站中的高价值产物。恶意代码搜索私钥、钱包文件、SSH 密钥、云凭证和 GitHub 令牌。在某些情况下，这些包会将窃取的凭证在外部服务上进行测试，并使用 SSH 密钥作为横向移动的枢纽以渗透其他系统。该活动留下的持久化产物旨在维持对受感染环境的访问。

攻击者还针对涉及 AI 助手和项目特定配置的开发工作流程发起攻击。该活动滥用诸如 .cursorrules 和 CLAUDE.md 等文件，嵌入隐藏指令——使用诸如零宽度 Unicode 字符等技术——以影响未来的 AI 编码会话。这些隐藏指令旨在让 AI 工具运行看似安全的扫描，但实际上执行数据收集与外泄。 将供应链妥协与 AI 工具操作操纵相结合，标志着攻击者在创造性与持久性上的升级。

这些恶意包以多种语言实现：npm 上的 JavaScript 包使用 postinstall 钩子，PyPI 包在导入时执行远程 JavaScript，而 Rust crate 则依赖于在编译期间执行的 build.rs 脚本。若干包特别针对 Sui 与 Move 开发环境，通过在构建过程中嵌入恶意动作进行攻击。通过利用语言特定的包生命周期钩子，攻击者确保其载荷在最少用户交互下运行。

研究人员已向受影响的注册库报告该活动，并将这些包归类为恶意。他们还观察到威胁行为者试图利用正常的开源贡献渠道通过拉取请求将 AI 配置文件插入项目，这一战术可能进一步为其后续的恶意内容增加合法性。尚无具体受害者或被盗资金被公开确认，但鉴于许多开发者机器上存在的各类秘密与访问令牌，潜在影响相当可观。

TrapDoor 活动突显了若干更广泛的趋势。首先，攻击者越来越倾向于优化供应链技术以针对开发者而非普通终端用户，因为开发者更可能在工作站上存储有价值的凭证与密钥。第二，AI 助手整合到开发工作流程中开启了新的攻击面——恶意行为者可以尝试向这些助手输入欺骗性指令以触发有害行为。最后，使用平凡的实用型包名表明，当与技术性利用相结合时，社会工程仍然是强大的助力。

缓解策略包括更严格地审查第三方依赖，对开发机器施行最小权限原则，扫描异常包行为，保护并轮换密钥和令牌，以及监控开发者工作站的异常网络活动。组织还应谨慎接受未经审查的 AI 配置文件，并应对任何影响 AI 助手的项目文件进行清理或审查。改进的注册库检测与更快速的下架流程可以减少暴露，但开发者与安全团队也必须假设端点可能成为目标并采取相应防御措施。

随着开源生态系统与 AI 工具持续与日常开发实践融合，防御者需要做出调整。TrapDoor 活动提醒我们，供应链安全必须扩展到超越构建产物，涵盖开发环境以及整合其中的 AI 助手。

关键见解表