【Rust日报】2026-05-26 TrapDoor 跨生态供应链攻击曝光
内容提要
Socket 安全研究人员揭露了名为 TrapDoor 的大规模供应链攻击,影响 npm、PyPI 和 Crates.io 生态,已识别出 34 个恶意软件包。攻击主要针对加密货币和 AI 开发者,窃取 SSH 密钥和 AWS 凭证。攻击者通过恶意脚本和后门实现持久化,提醒开发者关注供应链安全。
关键要点
-
Socket 安全研究人员揭露了名为 TrapDoor 的大规模供应链攻击,影响 npm、PyPI 和 Crates.io 生态。
-
已识别出 34 个恶意软件包和 384 个相关版本与工件,攻击主要针对加密货币和 AI 开发者。
-
攻击者通过恶意脚本和后门实现持久化,重点窃取 SSH 密钥、AWS 凭证等敏感信息。
-
npm 包通过 postinstall 执行恶意载荷,PyPI 包在导入时拉取并执行远程 JavaScript。
-
开发者需关注供应链安全,特别是构建脚本、依赖来源及本地开发环境中的异常文件。
延伸解读
供应链攻击的广泛影响
TrapDoor 攻击不仅影响 npm、PyPI 和 Crates.io 三大生态,还特别针对加密货币和 AI 开发者。这提醒开发者在选择依赖包时需更加谨慎,确保其来源的安全性,以防止潜在的安全隐患。
持久化后门的风险
攻击者通过多种方式植入持久化后门,如恶意脚本和系统服务。这意味着即使开发者发现了恶意软件包,清除后门也可能非常困难。因此,开发者应定期审查和更新其开发环境,确保没有异常文件存在。
关注构建脚本与依赖管理
文章强调了构建脚本和依赖来源的重要性。开发者在使用第三方库时,需仔细检查其构建过程,避免无意中引入恶意代码。此外,保持本地开发环境的清洁和安全也是防范攻击的关键。
延伸问答
TrapDoor供应链攻击的主要影响是什么?
TrapDoor供应链攻击影响了npm、PyPI和Crates.io生态,已识别出34个恶意软件包和384个相关版本。
TrapDoor攻击主要针对哪些开发者?
攻击主要针对加密货币和AI开发者,特别是涉及DeFi、Solana、Sui和Move的开发者。
攻击者是如何实现持久化的?
攻击者通过恶意脚本、后门和多种持久化机制,如植入Git hook和systemd服务,实现持久化。
开发者应该如何提高供应链安全?
开发者应关注构建脚本、依赖来源及本地开发环境中的异常文件,以提高供应链安全。
TrapDoor攻击中窃取了哪些敏感信息?
攻击者重点窃取SSH密钥、AWS凭证、GitHub令牌和浏览器配置等敏感信息。
npm和PyPI包是如何传播恶意载荷的?
npm包通过postinstall执行恶意载荷,PyPI包在导入时拉取并执行远程JavaScript。
