Die Offenlegung der TrapDoor-Kampagne durch Socket am 24. Mai deckte mehr als 34 bösartige Pakete und 384 verwandte Versionen auf, die über npm, PyPI und Crates.io verbreitet wurden – alle zielten auf die Entwickler, die DeFi-Protokolle erstellen, nicht auf die Verträge selbst. Payloads, die über Postinstall-Hooks, import-triggerte Skripte und Rust-Build-Dateien geliefert werden, bedeuten, dass eine einzige Paketinstallation ausreicht, um die Maschine eines Entwicklers zu kompromittieren, SSH-Schlüssel, GitHub-Token und Cloud-Anmeldeinformationen zu stehlen und einen Zugang zu den CI/CD-Pipelines und Bereitstellungsschlüsseln zu öffnen, die regeln, wie Protokolle das Mainnet erreichen.
Die Kampagne versuchte auch, versteckte Unicode-Anweisungen in Konfigurationsdateien von KI-Coding-Assistenten wie .cursorrules und CLAUDE.md einzufügen, wodurch KI-unterstützte Arbeitsabläufe effektiv in Exfiltrationsmechanismen verwandelt wurden.
TheBlock
Lookonchain
WuBlockchain