韓國爆「TrapDoor」惡意套件攻擊：鎖定 AI 開發工具與加密貨幣 지갑，竊取私鑰與雲端憑證

Wed, 27 May 2026, 04:26 am UTC

韓國爆「TrapDoor」惡意套件攻擊：鎖定 AI 開發工具與加密貨幣 지갑，竊取私鑰與雲端憑證 / Tokenpost

根據韓媒報導，駭客近期發動名為「TrapDoor」的攻擊行動，偽裝成「보안 점검（安全檢查）」工具，實際上在開發環境中植入「惡意程式碼」，鎖定「AI 開發工具」與「加密貨幣 지갑」等敏感目標，試圖竊取開發者裝置內的「私密金鑰」、雲端憑證與各類登入資訊。這起事件不僅波及「加密貨幣」生態，也對廣大「開發者社群」拉響警報。

根據資安公司 Socket 的說明，該公司於本月 24 日（當地時間）首次偵測到異常活動，並在 26 日公布調查結果。攻擊者透過誘導「AI 코딩 보조도구」——例如近年頗受開發者歡迎的生成式 AI 工具——在看似正常的「安全掃描」或「程式分析」過程中，執行隱藏指令，將開發者電腦中的「機密變數」與「環境設定」靜悄悄外傳至遠端伺服器。

此次「TrapDoor」行動的規模亦不容小覷。Socket 指出，目前已確認遭植入惡意程式的套件達 34 個以上，相關「版本」更擴大至至少 384 個。攻擊者鎖定主流開發生態系，將惡意套件散布於 npm、PyPI、Crates 等「開源套件儲存庫」，並不斷更新版本，以提高感染機率與存活時間。「評論」這代表只要開發者在未充分檢查情況下安裝或更新套件，就可能在不知情的情況下替攻擊者打開後門。

從鎖定的標的來看，TrapDoor 並非一般的小型釣魚行動。報導指出，攻擊者瞄準「加密貨幣 지갑」與「雲端開發環境」中的關鍵資訊，包括：

- 主要交易所與 지갑相關資料，如：Coinbase、Binance，以及與公鏈相關的「솔라나(SOL)」、「수이(SUI)」、「앱토스(APT)」等生態中的錢包資訊

- 去中心化 지갑與瀏覽器 지갑，例如 MetaMask 等

- 「브레이브(Brave) 瀏覽器」中儲存的隱私數據

- 「SSH 金鑰」、雲端服務登入憑證

- 「GitHub 訪問權杖（token）」

- 瀏覽器擴充功能中的資料與各類「API 金鑰」

這些資料一旦外流，不僅可能造成「加密資產」被盜領，也可能讓攻擊者進一步滲透企業內部系統、竊取原始碼或控制關鍵基礎設施。「評論」對於同時涉足「크립토 開發」、「DeFi 協議建置」與「AI 工具整合」的工程師而言，一個遭污染的套件就可能成為多重環境的「感染源」，風險呈放大效應。

Socket 補充，攻擊者在偽裝手法上相當細膩。這些惡意套件大多被包裝成「開發輔助工具」、「專案初始化工具」、「프롬프트 엔지니어링 套件」、或是專門協助「솔리디티」與「수이(SUI)」開發流程的工具模組。對一般開發者而言，這類名稱看似功能單純，又與日常需求高度貼合，容易在專案啟動或環境重建時，被當成一般依賴套件直接安裝。

Socket 的首席技術長 아흐마드 나스리（Ahmad Nassri）指出，從 GitHub 上可見的活動軌跡來看，這批惡意內容本身也大量運用了「AI 生成程式碼」。他提到，攻擊者混合使用多種手法：一方面利用常見「보안 템플릿」與自動化腳本生成大量誘餌儲存庫，另一方面則在其中夾雜真正具攻擊能力的惡意組件，形成多層偽裝結構。「評論」這種作法反映出攻擊者同樣在運用 AI 加速開發惡意工具，形成「AI 對 AI」的對抗局面。

此次事件的時間點也引發關注。就在「GitHub」於本月 20 日（當地時間）公開承認其內部儲存庫遭「未授權存取」後不久，TrapDoor 攻擊活動便被揭露。當時 GitHub 表示，事件起因與「員工裝置遭惡意軟體感染」有關。儘管目前尚無直接證據證明兩者為同一組織所為，但業界普遍認為，近期一連串鎖定「開發者工具」與「程式碼託管平台」的攻擊，顯示「軟體供應鏈」已成為高度優先的攻擊面。

Socket 將 TrapDoor 定性為針對「크립토」、「DeFi」、「AI」與「보안 開發者」社群的「組織化攻擊」。這些族群往往手握「지갑 私鑰」、「多重簽名權限」與「雲端管理帳號」，一旦遭到入侵，不僅個人資產與專案安全堪憂，連帶可能牽連整個協議或平台，出現系統性風險。

在「AI 코딩 보조도구」快速普及的當下，這起事件凸顯出針對「軟體供應鏈」的攻擊正在變得愈來愈精密、具針對性。對「加密貨幣」與「DeFi」開發者而言，從 지갑管理到「雲端基礎設施」與「API 金鑰」維護，通常都集中在同一工作環境，一旦開發機器被植入後門，可能同時失守多層安全防線。

「評論」專家建議，開發者與團隊應從以下幾方面強化防護：

- 在安裝與更新套件前，主動檢視下載來源與維護者背景

- 利用「套件行為分析」工具，如 Socket 等，及早偵測異常操作

- 將「지갑 密鑰」與「雲端憑證」隔離存放於專用安全裝置或服務

- 為「GitHub token」與其他 API 金鑰設定最小權限與定期輪替機制

隨著「AI 開發工具」與「加密貨幣」生態愈加緊密結合，TrapDoor 事件無疑再次提醒市場：在追求開發效率與自動化之餘，「供應鏈安全」與「憑證管理」將是未來加密產業與開發者社群不可忽視的核心課題。

#加密貨幣安全 # AI 開發工具 # 軟體供應鏈攻擊 # 惡意套件 # 加密貨幣 지갑 # DeFi 安全 # 私鑰外洩 # 雲端憑證 # GitHub # 資安事件