重點摘要

一個新發現的供應鏈活動，名為 TrapDoor，已在主要套件倉儲（npm、PyPI 與 Crates.io）散布超過 34 個惡意套件，目標為加密與雲端開發者。這些套件冒充為無害的開發工具與安全工具，但被設計用來蒐集 SSH 金鑰、錢包檔案、AWS 與 GitHub 憑證、瀏覽器資料以及其他敏感設定檔。 值得注意的是，攻擊者也濫用 AI 設定檔（例如 .cursorrules 與 CLAUDE.md），在其中嵌入隱藏指令以操縱未來的 AI 編碼工作流程，讓其執行偽裝成安全檢查但實際會外洩秘密的行為。

情緒分析

• 整體情緒：偏向混合到負面。這項發現突顯了開放原始碼供應鏈與開發環境中的重大安全風險，令開發者、安全與加密社群感到憂慮。文風強調謹慎以及需要改進的審查、監控與防禦實務。此活動的複雜度——使用看似平凡的套件名稱並針對 AI 助手的設定檔——提高了威脅感知與修復的緊迫性。
• 70%

文章內容

安全研究人員發現一個有針對性的供應鏈活動，稱為 TrapDoor，該活動在知名的開放原始碼套件倉儲中散布數十個惡意套件以入侵開發者機器。這些套件——總數超過 34 個，包含多個相關版本與產物——被放在 npm、PyPI 與 Crates.io，上面自稱為普通的開發工具、安全掃描器、錢包工具與 AI 提示輔助程式。這些套件刻意顯得無異，名稱例如「wallet-security-checker」、「defi-risk-scanner」與「llm-context-compressor」，以提高開發者在未充分檢視下安裝的可能性。

一旦安裝，這些負載的行為超出正常套件範圍，會列舉並擷取開發者工作站中的高價值產物。惡意程式碼搜尋私人金鑰、錢包檔案、SSH 金鑰、雲端憑證與 GitHub 令牌。在某些情況下，這些套件會將竊得的憑證在外部服務上進行測試，並使用 SSH 金鑰作為橫向移動的樞紐以滲透其他系統。該活動遺留的持久化產物旨在維持對受害環境的存取。

攻擊者也針對涉及 AI 助手與專案特定設定的開發工作流程發動攻擊。該活動濫用像 .cursorrules 與 CLAUDE.md 等檔案，嵌入隱藏指令——利用像零寬度 Unicode 字元等技術——以影響未來的 AI 編碼工作階段。那些隱藏指令旨在使 AI 工具執行看似安全掃描但實際上執行資料蒐集與外洩。 供應鏈妥協與對 AI 工具操作的混合，標誌著攻擊者在創意與持久性上的明顯升級。

這些惡意套件以多種語言實作：npm 上的 JavaScript 套件使用 postinstall 鉤子，PyPI 套件在匯入時執行遠端 JavaScript，而 Rust 套件則依賴於在編譯期間執行的 build.rs 腳本。若干套件特別針對 Sui 與 Move 開發環境，透過在建置流程中嵌入惡意動作進行攻擊。藉由利用語言特定的套件生命週期鉤子，攻擊者確保其負載能在最小使用者互動下執行。

研究人員已向受影響的倉儲通報此活動，並將這些套件分類為惡意。他們也觀察到威脅行為者嘗試使用正常的開放原始碼貢獻管道透過拉取請求將 AI 設定檔插入專案，這種戰術可能進一步為其後續的惡意內容增添合法性。目前尚無具體受害者或被盜資金被公開確認，但鑑於許多開發者機器上存在的各種祕密與存取令牌，潛在影響相當可觀。

TrapDoor 活動突顯了幾個更廣泛的趨勢。首先，攻擊者越來越傾向優化供應鏈技術以鎖定開發者，而非一般最終使用者，因為開發者較可能在工作站上儲存有價值的憑證與金鑰。第二，AI 助手整合到開發工作流程中開啟了新的攻擊面——惡意者可能試圖向這些助手餵入欺騙性指令以觸發有害行為。最後，使用平凡的工具型套件名稱顯示出社交工程在結合技術性利用時仍然是強大的助力。

緩解策略包括更嚴格地審查第三方依賴，對開發機器實施最小權限原則，掃描異常套件行為，保護與輪換金鑰和令牌，以及監控開發者工作站的異常網路活動。組織也應對接受未經審查的 AI 設定檔保持謹慎，並應對任何會影響 AI 助手的專案檔案進行清理或審查。改進的倉儲偵測與更快速的下架程序可減少暴露，但開發者與資安團隊也必須假設端點可能成為攻擊目標並採取相應的防禦措施。

隨著開放原始碼生態系統與 AI 工具持續與日常開發實務融合，防禦者將需要調整。TrapDoor 活動提醒我們，供應鏈安全必須延伸超越建置產物，包含開發環境以及整合其中的 AI 助手。

關鍵見解表