新聞 
幣種資訊 
關於我們 
根據安全社群公開資訊,近期一波名為「TrapDoor」的惡意攻擊活動,正大規模鎖定「開源生態系」與「加密貨幣開發者」的*錢包金鑰*與*雲端憑證*。這起事件屬於典型的*供應鏈攻擊*,透過滲透常用套件庫,入侵開發者日常使用的工具與環境,對整個*區塊鏈開發*與*Web3 專案*構成實質威脅。
根據多家資安研究團隊整理的時間線,這次「TrapDoor」行動同時瞄準 npm、PyPI、Crates.io 等主流開源套件儲存庫,短時間內釋出超過 30 個惡意套件,並衍生出 300 個以上的感染版本。研究人員推測,攻擊活動在 22 日(當地時間)前後快速升溫,而更早在 20 日(當地時間),程式碼託管平台 GitHub 已通報發現內部儲存庫遭到未授權存取,顯示整體行動很可能是有組織的長期佈局。
這波攻擊的關鍵特色在於散佈手法:攻擊者不是用單一帳號上傳,而是透過多個不同帳號與專案名稱,分批次將惡意套件像「海浪」一樣丟進各大開源平台。由於版本更新與依賴套件更新在開發流程中極為頻繁,「TrapDoor」得以偽裝成*普通依賴升級*,大幅降低初期被偵測的可能性。資安團隊發現,這些套件在行為模式與惡意程式結構上高度相似,因此判定背後應是共享的攻擊框架。
從技術層面看,「TrapDoor」在安裝階段就會自動啟動惡意流程。對於 JavaScript 生態系,它利用 post-install 腳本觸發;在 Python 生態系,則透過 import 時的副作用執行;至於 Rust 專案,則是藏在 build script 當中。一旦啟動,惡意程式會全面掃描系統中的 SSH 金鑰、API 存取權杖、環境變數,以及瀏覽器儲存的登入憑證,再將收集到的敏感資料回傳到攻擊者控制的伺服器。有研究指出,部分樣本還試圖修改或掛鉤開發工具的啟動程序,企圖在受害者系統中長期維持存活。
在目標選擇上,「TrapDoor」明顯鎖定*加密貨幣*與*區塊鏈服務*。惡意程式會搜尋與幣安(Binance)、MetaMask、Coinbase、Solana 生態相關工具的設定檔與錢包資料,試圖取得私鑰或助記詞等核心憑證。同時,它也鎖定 AWS 等雲端平台的存取金鑰、GitHub 的存取 Token,以及可用於遠端連線的 SSH 金鑰,對個人開發者的本機環境與企業內部系統都形成雙重風險。
更引人關注的是,「TrapDoor」還將攻擊觸手伸向*AI 開發輔助工具*。部分惡意套件會讀取或修改 .cursorrules、CLAUDE.md 等設定檔,藉此影響 AI 程式碼助理的行為模式與建議內容。這意味著攻擊者不只想在本機執行惡意程式碼,更試圖*扭曲開發者使用 AI 的工作流程*,在程式設計決策層面埋入風險。
評論:「TrapDoor」事件再次凸顯「開源依賴」在*加密產業*中的結構性弱點。當*錢包金鑰*、*雲端帳號*與*原始碼存取權*都集中在同一套開發環境中,任何一個被污染的套件,都可能成為攻擊者進入整個專案與基礎設施的入口。未來,無論是個人開發者還是交易所、DeFi 協議與錢包團隊,都必須把*套件來源審核*、*依賴完整性驗證*與*最小權限存取控制*,視為與冷錢包隔離、合約審計同等重要的防禦層。
留言 0