Dữ liệu ví Solana, Sui và Aptos bị nhắm mục tiêu trong cuộc tấn công gói TrapDoor

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯4695 từ

Dữ liệu ví Solana, Sui và Aptos bị nhắm mục tiêu trong cuộc tấn công gói TrapDoor Chiến dịch nhắm vào các nhà phát triển crypto, DeFi, AI và bảo mật bằng các gói công cụ giả mạo để đánh cắp ví, khóa SSH, token GitHub, thông tin xác thực đám mây và dữ liệu trình duyệt. Những điều cần biết: - Một chiến dịch tấn công chuỗi cung ứng mới được phát hiện có tên TrapDoor đã cài hơn 34 gói độc hại trên npm, PyPI và Crates.io nhằm nhắm vào các nhà phát triển crypto và đám mây. - Các gói này, được ngụy trang dưới dạng các tiện ích phát triển thông thường và công cụ bảo mật, được thiết kế để đánh cắp khóa SSH, tệp ví, thông tin xác thực AWS, token GitHub, dữ liệu trình duyệt và các tệp cấu hình nhạy cảm khác. - Các nhà nghiên cứu cho biết kẻ tấn công cũng lạm dụng các tệp cấu hình AI như .cursorrules và CLAUDE.md với các hướng dẫn ẩn, nhằm chiếm quyền điều khiển các phiên lập trình AI trong tương lai để chạy các lần quét bảo mật giả mạo nhằm đánh cắp bí mật. Một chiến dịch đánh cắp crypto mới đang nhắm vào những nhà phát triển có nhiều khả năng có khóa ví, thông tin xác thực đám mây và quyền truy cập sản xuất nằm trên máy của họ. Các nhà nghiên cứu tại công ty bảo mật Socket cho biết đầu tuần này họ đã xác định được một cuộc tấn công chuỗi cung ứng có tên TrapDoor lan rộng trên ba kho đăng ký lập trình mã nguồn mở lớn, với hơn 34 gói độc hại và hàng trăm phiên bản cùng tệp liên quan. Một điểm rút ra quan trọng là kẻ tấn công đang trở nên tập trung hơn. Ngoài kỹ thuật tấn công phi kỹ thuật (social engineering), nhắm vào các cá nhân nắm giữ thông tin quan trọng, các cuộc tấn công chuỗi cung ứng được xây dựng không phải để bắt người dùng bán lẻ ngẫu nhiên mà là các nhà phát triển. Đó chính là những người có thể có tệp ví, khóa SSH, token GitHub, thông tin xác thực đám mây và quyền truy cập sản xuất trên cùng một máy mà họ sử dụng để xây dựng các công cụ crypto và AI. Socket không xác định nạn nhân hoặc số tiền bị đánh cắp, nhưng cho biết các gói này đã hoạt động trên npm, PyPI và Crates.io và chứa các payload có thể đánh cắp dữ liệu ví, lấy cắp thông tin xác thực, thử nghiệm token AWS và GitHub, và để lại các tệp nhằm duy trì quyền truy cập. Các gói được lập trình bằng JavaScript, Python và Rust được ngụy trang dưới dạng trình trợ giúp cho nhà phát triển, máy quét bảo mật, công cụ ví, tiện ích Solidity, gói prompt AI và trình trợ giúp build Sui hoặc Move. Tẻ nhạt một cách có chủ đích Các tên gọi được đặt tẻ nhạt một cách có chủ đích. Các gói được đặt tên như "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard," "move-compiler-tools" và "llm-context-compressor," trông giống như loại tiện ích nhỏ mà một nhà phát triển crypto hoặc AI có thể cài đặt mà không cần suy nghĩ nhiều. Tuy nhiên, sau khi cài đặt, các payload đã cố gắng lấy nhiều thứ hơn dữ liệu gói. Trong các gói npm, phần mềm độc hại tìm kiếm trên máy của nhà phát triển các khóa riêng tư, mật khẩu, token GitHub và thông tin đăng nhập đám mây. Nó cũng thử nghiệm một số thông tin xác thực bị đánh cắp, cố gắng di chuyển sang các hệ thống khác thông qua khóa SSH và để lại các tệp có thể duy trì sự lây nhiễm. Khóa SSH là các tệp đăng nhập mà các nhà phát triển sử dụng để truy cập máy chủ, kho lưu trữ mã nguồn và các máy khác. Nếu bị đánh cắp, chúng có thể cho phép kẻ tấn công di chuyển từ một máy tính xách tay bị xâm phạm sang cơ sở hạ tầng rộng hơn của một công ty. Cuộc tấn công cũng sử dụng các tệp như .cursorrules và claude.md, cho phép các nhà phát triển đưa ra hướng dẫn dành riêng cho dự án cho các công cụ lập trình AI. Socket cho biết chiến dịch đã cài các hướng dẫn ẩn bằng cách sử dụng các ký tự Unicode có độ rộng bằng 0, dường như đang cố gắng khiến các phiên trợ lý AI trong tương lai chạy các "lần quét bảo mật" giả mạo nhằm thu thập và đánh cắp bí mật. Điều đó đã biến cuộc tấn công từ một trình đánh cắp gói thông thường thành thứ gì đó gần giống với phần mềm độc hại cho môi trường nhà phát triển. Việc cài đặt gói chỉ là bước đầu tiên, mục tiêu thực sự là máy trạm, chẳng hạn như ví, kho lưu trữ, dữ liệu trình duyệt, khóa đám mây, quyền truy cập SSH và bất cứ thứ gì các công cụ lập trình AI đọc tiếp theo. Các gói Rust sử dụng các script build.rs độc hại để chạy trong quá trình biên dịch, nhắm vào các nhà phát triển sui và move. Các gói PyPI thực thi JavaScript từ xa khi nhập. Các gói trên npm sử dụng hook postinstall. Socket cho biết họ đã báo cáo các gói này cho các kho đăng ký bị ảnh hưởng và phân loại các gói trong chiến dịch là độc hại. Công ty cũng cảnh báo rằng kẻ tấn công đã mở các pull request đến các dự án AI và nhà phát triển, cố gắng thêm các tệp .cursorrules và CLAUDE.md thông qua các con đường đóng góp mã nguồn mở thông thường. Thêm cho bạn Trong số tuần này của The Protocol Newsletter, chúng tôi đang đi sâu vào tổ chức đã là người quản lý chính cho blockchain Ethereum, và lý do tại sao nó lại trở lại tâm điểm chú ý. Những điều cần biết: Chào mừng đến với The Protocol, bản tin công nghệ của CoinDesk đưa tin về những câu chuyện quan trọng nhất trong blockchain. Tôi là Margaux Nijkerk, một phóng viên tại CoinDesk. Chúng tôi đang làm mới bản tin để mang đến cho bạn cái nhìn sâu hơn về các xu hướng lớn nhất, những đột phá và các cuộc tranh luận đang định hình công nghệ blockchain mỗi tuần. Tuần này, chúng ta sẽ đi sâu vào lý do tại sao...

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (CoinDesk)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản6 tin

2026-05-20

Solana mất một nửa lực mua ngay khi cánh cửa sập $83 đe dọa lao dốc tự do

Độ tương đồng 330%標的 SOL關鍵字 trapdoor/solana

2026-05-18

XRP Ledger tăng 121% về RWA đang bỏ xa Solana và BNB Chain — Đây là dữ liệu

Độ tương đồng 330%標的 SOL關鍵字 solana/data

2026-04-16

Công nghệ giao dịch Phố Wall đang tiến đến thị trường crypto khi DoubleZero triển khai dữ liệu tốc độ cao cho Solana

Độ tương đồng 300%標的 SOL關鍵字 solana/data

2026-05-29