Фьючерсы
Доступ к сотням фьючерсов
CFD
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Pre-IPOs
Откройте полный доступ к глобальным IPO акций
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
Рекламные акции
Промоакции
Участвуйте и получайте награды
Реферал
20 USDT
Приглашайте друзей за бонусы
Партнерская программа
Эксклюзивные комиссионные
Gate Booster
Растите влияние и получайте аирдроп
Анонсы
Обновления в реальном времени
Блог Gate
Статьи о криптоиндустрии
VIP-услуги
Огромные скидки на комиссии
Управление активами
Универсальное решение для управления активами
Институциональный
Крипто-решения для бизнеса
Разработчикам (API)
Подключение к экосистеме приложений Gate
Внебиржевые банковские переводы
Ввод и вывод фиатных денег
Брокерская программа
Щедрые механизмы скидок API
AI
Gate AI
Ваш универсальный AI-ассистент для любых задач
Gate AI Bot
Используйте Gate AI прямо в вашем социальном приложении
GateClaw
Gate Синий Лобстер — готов к использованию
Gate for AI Agent
AI-инфраструктура: Gate MCP, Skills и CLI
Gate Skills Hub
Более 10 тыс навыков
От офиса до трейдинга: единая база навыков для эффективного использования ИИ
GateRouter
Умный выбор из более чем 40 моделей ИИ, без дополнительных затрат (0%)
TrapDoor цепочка поставок атак: 34 вредоносных пакета, специально крадущих криптокошельки, скрывающих команды в CLAUDE.md
TrapDoor供应链攻击锁定开发者,部署34个恶意套件窃取加密钱包与密钥。黑客更在配置文件中埋入隐藏指令,劫持Claude等AI助手窃取机密,开发者务必严防。
TrapDoor供应链攻击曝光:锁定加密货币与AI开发者
安全公司Socket Security最新的报告揭露,一个代号为「TrapDoor」的供应链攻击正在迅速扩散。
Socket Security指出,TrapDoor攻击已经在npm、PyPI和Crates.io等三大开发者套件管理系统中,部署了超过34个恶意套件以及384个以上的相关版本,目标锁定加密货币、去中心化金融(DeFi)、AI以及安全领域的开发人员。
这些恶意套件的设计目的,是为了广泛收集开发者的机密信息。黑客企图窃取的资料包含SSH密钥、云端服务的凭证、GitHub访问权限、浏览器资料、应用程序接口密钥,以及包含Solana、Sui与Aptos等生态系统的加密货币钱包资料。
黑客收集敏感数据后,可以直接窃取加密资产,也可能将受害开发者的电脑作为跳板,进一步渗透到其他基础设施中。
TrapDoor的潜伏手法与AI劫持机制
在TrapDoor攻击中,黑客精心设计了套件名称,让它看起来像是合法的开发辅助工具。例如在npm系统中的crypto-credential-scanner或在Crates.io的sui-move-build-helper,让开发人员在正常的项目构建过程中不小心下载并执行恶意代码。
Socket Security表示,这些恶意软件会利用各个生态系统的特定执行路径来触发,例如npm的安装后钩子、Python的导入时执行,以及Rust的build.rs编译脚本。
这次攻击行动最引人注目的特点,是针对AI辅助写程式工具的劫持机制。黑客会在项目文件如.cursorrules或CLAUDE.md中,植入包含零宽度Unicode字符的隐藏指令。
Socket Security技术长Ahmad Nassri指出,黑客的目标是欺骗Claude和Cursor等AI程序设计助理,诱使这些AI工具在开发环境中执行系统安全扫描。实际上,这些扫描动作会在后台悄悄收集,并外泄开发者的机密设定与环境变量。
图源:SocketAUDIT-MATRIX.md文件中,概述了TrapDoor恶意软件攻击的预订提取框架
研究人员还发现,黑客甚至在GitHub上对多个知名的AI与开发者开源项目发起拉取请求(Pull Request,简称PR),企图以新增开发标准与构建验证等看似正当的理由,将带有隐藏恶意指令的文件混入正常的开源工作流程中。
若开发团队接受这些请求,未来使用AI工具读取该项目的程序设计师,就会在不知情的情况下触发资料外泄机制。
最近的TanStack套件投毒,也锁定AI生态
近期,针对开发环境的供应链攻击正变得越来越频繁且复杂。
最近就发生针对TanStack套件的大规模供应链攻击,黑客组织同样锁定AI生态系,并通过在VS Code与Claude Code等编辑器环境中挂载恶意代码,窃取开发者的GitHub访问权限与云端凭证。
知名冷钱包制造商Ledger的技术长Charles Guillemet对此类攻击表示,黑客的技术已经变得极其强大,防御难度也随之增加。
供应链攻击频频,下载套件、接受PR要谨慎
黑客正积极结合传统的套件名称误植手法,与新型的AI环境攻击路径。由于GitHub等平台已被攻击者利用来存放恶意负载与传播配置文件,开发团队在引入任何外部依赖项或接受拉取请求时,都必须进行更严格的安全审查。
**软件安装只是攻击的第一步,后续针对AI配置文件、系统排程与网络连接的潜伏,让安全防护面临更大挑战。**开发者在下载各大管理系统的开源套件时,应仔细核对套件名称、发布者来源与相关基础设施的安全性,以避免沦为供应链攻击的受害者。