Preise werden geladen…
🩸BEARISH

TrapDoor: 34+ bösartige Pakete in npm und PyPI entdeckt

Das eigentliche Ziel ist nicht die Wallet-Datei eines Entwicklers, sondern die Workstation, auf der SSH-Schlüssel, AWS-Zugangsdaten, GitHub-Tokens und laufende KI-Coding-Sessions alle auf derselben Maschine liegen.

TrapDoor: 34+ bösartige Pakete in npm und PyPI entdeckt
TrapDoor: 34+ bösartige Pakete in npm und PyPI entdeckt
TrapDoor: 34+ bösartige Pakete in npm und PyPI entdeckt
TrapDoor: 34+ bösartige Pakete in npm und PyPI entdeckt

Sicherheitsforscher der Firma Socket haben diese Woche eine Supply-Chain-Kampagne namens TrapDoor offengelegt. Dabei wurden mehr als 34 bösartige Pakete über npm, PyPI und Crates.io verteilt, dazu Hunderte zugehörige Versionen und Artefakte. Die Pakete tarnten sich als alltägliche Entwicklerwerkzeuge – Namen wie "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard" und "move-compiler-tools" – und waren gezielt auf Solana-, Sui-, Aptos-, DeFi-, KI- und Security-Entwickler zugeschnitten, die echte Zugangsdaten auf ihren Build-Maschinen verwahren.

Nach der Installation schlugen die Payloads in den drei Ökosystemen unterschiedlich zu: Rust-Pakete nutzten bösartige build.rs-Skripte, die während der Kompilierung ausgeführt wurden und Sui- und Move-Entwickler ins Visier nahmen; PyPI-Pakete führten beim Import entfernten JavaScript-Code aus; npm-Pakete setzten postinstall-Hooks ein. Die Schadsoftware durchsuchte Entwicklerrechner nach Private Keys, Wallet-Dateien, GitHub-Tokens, AWS-Zugangsdaten und SSH-Schlüsseln, testete gestohlene Credentials und legte Dateien ab, die den Zugriff für laterale Bewegungen in die Unternehmens­infrastruktur dauerhaft sichern sollten.

Warum das wichtig ist

Supply-Chain-Angriffe zielen nicht auf beliebige Privatanwender, sondern auf die Leute, die mit hoher Wahrscheinlichkeit im Besitz der Schlüssel sind. Die TrapDoor-Pakete waren gezielt auf Krypto- und KI-Ingenieure ausgerichtet, weil diese Entwickler tendenziell Wallet-Dateien, SSH-Schlüssel, GitHub-Tokens, Cloud-Credentials und Produktionszugriffe auf derselben Maschine halten, auf der sie bauen. Gestohlene SSH-Schlüssel können einem Angreifer insbesondere ermöglichen, von einem einzigen kompromittierten Laptop in die breitere Infrastruktur eines Unternehmens zu pivotieren.

Die Kampagne missbrauchte zudem KI-Konfigurationsdateien wie .cursorrules und CLAUDE.md und schleuste versteckte Anweisungen über Zero-Width-Unicode-Zeichen ein. Ziel war es, künftige Sessions von KI-Coding-Assistenten dazu zu bringen, gefälschte „Security Scans" auszuführen, die Geheimnisse sammeln und exfiltrieren – wodurch aus einem simplen Paket-Stealer Malware für die gesamte Entwicklungsumgebung wird, bei der die Paketinstallation nur der erste Schritt ist.

Marktauswirkungen

Socket erklärte, die Pakete an die betroffenen Registries gemeldet und die Kampagne als bösartig eingestuft zu haben, nannte jedoch keine identifizierten Opfer oder gestohlenen Gelder.

Verwandte Tokens
$SOL $APT $SUI

Häufig gestellte Fragen

  1. Was ist der TrapDoor-Supply-Chain-Angriff?

    TrapDoor ist eine von der Sicherheitsfirma Socket aufgedeckte Supply-Chain-Kampagne, die mehr als 34 bösartige Pakete in npm, PyPI und Crates.io einschleuste – getarnt als Entwickler-Utilities rund um Krypto, DeFi, KI und Security-Tooling.

  2. Was haben die TrapDoor-Pakete tatsächlich gestohlen?

    Die Pakete durchsuchten Entwicklerrechner nach Wallet-Dateien, Private Keys, SSH-Schlüsseln, GitHub-Tokens, AWS-Zugangsdaten und Browser-Daten, testeten gestohlene Credentials gegen aktive Dienste und legten Persistenz-Dateien für späteren Zugriff ab.

  3. Wie haben die Pakete gezielt Solana-, Sui- und Aptos-Entwickler ins Visier genommen?

    Die Paketnamen wirkten wie routinemäßige Tools, die solche Entwickler installieren würden – "solidity-build-guard," "move-compiler-tools" und ähnliche –, während die Rust-Payloads bösartige build.rs-Skripte nutzten, die während der Kompilierung liefen und Sui- und Move-Workflows anvisierten.

  4. Was hat es mit .cursorrules und CLAUDE.md im TrapDoor-Angriff auf sich?

    Die Angreifer schleusten versteckte Anweisungen in KI-Konfigurationsdateien über Zero-Width-Unicode-Zeichen ein, um künftige Sessions von KI-Coding-Assistenten dazu zu bringen, gefälschte „Security Scans" auszuführen, die Geheimnisse aus der Entwicklungsumgebung exfiltrierten.

  5. Gibt es bestätigte Verluste durch die TrapDoor-Kampagne?

    Socket erklärte, die Pakete an die betroffenen Registries gemeldet und als bösartig eingestuft zu haben, nannte jedoch keine konkreten Opfer oder Summen gestohlener Gelder. Die Angreifer öffneten zudem Pull Requests gegen KI- und Entwicklerprojekte, um die Verbreitung über übliche Open-Source-Beitragswege auszuweiten.

Quellenangabe
Aggregiert von CoinDesk · Verifiziert · Zuletzt aktualisiert vor 48d
Original öffnen →