安全研究人员发现了一个名为“TrapDoor”的协调恶意软件活动,该活动在主要开源注册表中部署恶意软件包,以窃取加密货币开发人员的敏感凭据。
Socket Security 在 npm (JavaScript)、PyPI (Python) 和 Crates.io (Rust) 注册表中识别出超过 34 个恶意软件包,涵盖超过 384 个版本。该活动专门针对 Aptos、Sui 和 Solana 区块链生态系统的开发人员环境。
根据该公司周日的声明,这些恶意软件包旨在从受感染的计算机中获取 SSH 密钥、加密货币钱包密钥库、AWS 凭证、GitHub 令牌和浏览器登录数据。
“这些包通过生态系统特定的机制执行,包括 npm postinstall 挂钩、Python 导入触发器和 Rust build.rs 脚本,”Socket 研究人员解释道。
该行动使用了欺骗性的软件包名称,模仿加密货币、DeFi、人工智能和安全工作流程的合法开发工具。示例包括:
- npm:加密凭证扫描器、defi-env-auditor、钱包安全检查器
- PyPI: eth-security-auditor、defi-risk-scanner
- Crates.io: sui-framework-helpers、move-analyzer-build、sui-sdk-build-utils
该活动展示了快速、集群的部署模式。最早观察到的包是 PyPI 模块“eth-security-auditor@0.1.0”,于周五 20:20 UTC 上传,仅两分钟后就发布了编译好的轮子。不同注册中心的多个帐户快速连续地发布了软件包。
研究人员将“TrapDoor”描述为“小批量但高影响力的操作”,并指出,虽然软件包数量相对较少,但它们战略性地分布在多个注册表中,以包含高价值身份验证和财务凭证的目标环境。
敦促 Web3 领域的开发人员在安装依赖项、验证软件包源并定期审核其开发环境是否存在可疑活动时要格外小心。