TrapDoor供應鏈攻擊：34個惡意套件專偷加密錢包、在CLAUDE.md埋隱藏指令

TrapDoor供應鏈攻擊鎖定開發者，部署 34 個惡意套件竊取加密錢包與金鑰。駭客更在設定檔埋入隱藏指令，劫持 Claude 等 AI 助手竊取機密，開發者務必嚴防。

TrapDoor供應鏈攻擊曝光：鎖定加密貨幣與AI開發者

資安公司 Socket Security 最新的報告揭露，一個代號為「TrapDoor」的供應鏈攻擊正在迅速擴散。

Socket Security 指出，TrapDoor 攻擊已經在 npm、PyPI 和 Crates.io 等三大開發者套件管理系統中，部署了超過 34 個惡意套件以及 384 個以上的相關版本，目標鎖定加密貨幣、去中心化金融（DeFi）、AI 以及資安領域的開發人員。

• 點這裡看Socket Security整理的惡意套件與版本清單

這些惡意套件的設計目的，是為了廣泛收集開發者的機密資訊。駭客企圖竊取的資料包含 SSH 金鑰、雲端服務的憑證、GitHub 存取權杖、瀏覽器資料、應用程式介面金鑰，以及包含 Solana、Sui 與 Aptos 等生態系的加密貨幣錢包資料。

駭客收集敏感數據後，可以直接竊取加密資產，也可能將受害開發者的電腦作為跳板，進一步滲透到其他基礎設施中。

TrapDoor的潛伏手法與AI劫持機制

在 TrapDoor 攻擊中，駭客精心設計了套件名稱，讓它看起來像是合法的開發輔助工具。例如在 npm 系統中的 crypto-credential-scanner 或在 Crates.io 的 sui-move-build-helper，讓開發人員在正常的專案建置過程中不小心下載並執行惡意程式碼。

Socket Security 表示，這些惡意軟體會利用各個生態系的特定執行路徑來觸發，例如 npm 的安裝後掛鉤、Python 的匯入時執行，以及 Rust 的 build.rs 編譯腳本。

這次攻擊行動最引人注目的特點，是針對 AI 輔助寫程式工具的劫持機制。駭客會在專案檔如 .cursorrules 或 CLAUDE.md 中，植入包含零寬度 Unicode 字元的隱藏指令。

Socket Security 技術長 Ahmad Nassri 指出，駭客的目標是欺騙 Claude 和 Cursor 等 AI 程式設計助理，誘使這些 AI 工具在開發環境中執行系統安全掃描。實際上，這些掃描動作會在背景悄悄收集，並外洩開發者的機密設定與環境變數。

圖源：SocketAUDIT-MATRIX.md檔案中，概述了TrapDoor惡意軟體攻擊的預訂提取框架

研究人員還發現，駭客甚至在 GitHub 上對多個知名的 AI 與開發者開源專案發起拉取請求（Pull Request，簡稱 PR），企圖以新增開發標準與建置驗證等看似正當的理由，將帶有隱藏惡意指令的檔案混入正常的開源工作流程中。

若開發團隊接受這些請求，未來使用 AI 工具讀取該專案的程式設計師，就會在不知情的情況下觸發資料外洩機制。

最近的TanStack套件投毒，也鎖定AI生態

近期，針對開發環境的供應鏈攻擊正變得越來越頻繁且複雜。

最近就發生針對 TanStack 套件的大規模供應鏈攻擊，駭客組織同樣鎖定 AI 生態系，並透過在 VS Code 與 Claude Code 等編輯器環境中掛載惡意程式碼，竊取開發者的 GitHub 存取權杖與雲端憑證。

知名冷錢包製造商 Ledger 的技術長 Charles Guillemet 對此類攻擊表示，駭客的技術已經變得極其強大，防禦難度也隨之增加。

• **相關報導：**Claude Code用戶小心！TanStack NPM遭駭投毒，每週下載高達1270萬次

供應鏈攻擊頻傳，下載套件、接受PR要謹慎

駭客正積極結合傳統的套件名稱誤植手法，與新型態的 AI 環境攻擊路徑。由於 GitHub 等平台已被攻擊者利用來存放惡意負載與傳播設定檔，開發團隊在引入任何外部依賴項或接受拉取請求時，都必須進行更嚴格的安全審查。

**軟體安裝只是攻擊的第一步，後續針對 AI 設定檔、系統排程與網路連線的潛伏，讓資安防護面臨更大挑戰。**開發者在下載各大管理系統的開源套件時，應仔細核對套件名稱、發布者來源與相關基礎設施的安全性，以避免淪為供應鏈攻擊的受害者。