Notebookcheck Logo

TrapDoor vill förgifta AI-kodningsverktyg

Skadliga paket upptäckta över npm, PyPI och Crates.io i TrapDoor-kampanjen för leveranskedjan.
ⓘ www.magnific.com
Skadliga paket upptäckta över npm, PyPI och Crates.io i TrapDoor-kampanjen för leveranskedjan.
TrapDoor planterar 34 skadliga paket över npm, PyPI och Crates.io med inriktning på krypto- och AI-utvecklare för att stjäla plånböcker, SSH-nycklar och molnuppgifter.
Desktop Workstation Security Software Laptop / Notebook Hack / Data Breach

Trettiofyra skadliga paket. Tre register. Socket Security namngav kampanjen offentligt den 25 maj 2026. Operationen, med kodnamnet TrapDoor, lämnade sina tidigaste spår den 19 maj, med huvudvågen som anlände den 22 maj kl. 20:20 UTC. Vid den tidpunkt då Socket publicerades hade 384 versioner drivits över npm, PyPI och Crates.io.

Vad TrapDoor stjäl och hur det körs

Det första bekräftade paketet var eth-security-auditor på PyPI. Dussintals följde snabbt över alla tre registren från ett kluster av konton som arbetar i bursts. Namngivningen är avsiktlig: prompt-engineering-toolkit, defi-threat-scanner, wallet-security-checker, solidity-deploy-guard. Var och en passerar för ett rutinmässigt verktyg i krypto-, DeFi-, Solana- eller AI-arbetsflöden. Nyttolasten är konsekvent i alla 384 versioner: kryptoplånböcker, SSH-nycklar, molnuppgifter, AWS- och GitHub-tokens, webbläsardata och miljövariabler.

Npm-paket släpper trap-core.js via krokar efter installationen. Det validerar stulna tokens mot live AWS och GitHub-slutpunkter och gräver in genom cron-jobb, systemd, Git-krokar och SSH. PyPI-paket avfyras vid import och hämtar en JavaScript-nyttolast från en angriparkontrollerad GitHub Pages-domän, som är värd externt så att angriparen kan uppdatera den utan att röra PyPI. Crates.io-paketen använder ett build.rs-skript, lokaliserar lokala nyckelförråd och skickar XOR-krypterade data till GitHub Gists. Socket's median upptäcktstid var fem minuter och 27 sekunder. Helgtiden var avsiktlig.

Hotet från AI-kodning

TrapDoor planterar också .cursorrules- och CLAUDE.md-filer i målförvar och döljer instruktioner inuti Unicode-tecken med nollbredd. En AI-kodningsassistent som läser dessa filer ser en rutinmässig säkerhetsskanning. Genom att köra den exfiltreras hemligheter från den lokala maskinen.

Angriparen öppnade pull-förfrågningar mot BrowserUse, LangChain och LangFlow för att testa om dessa filer skulle överleva en normal kodgranskning. Om de slås samman blir varje utvecklare som öppnar repot med ett AI-kodningsverktyg ett mål. Attackytan är redigeraren, inte registret.

För hur utvecklarverktyg blev den primära attackytan 2026, se vår täckning av VS Code-tilläggsbrottet som drabbade GitHub, OpenAI och Mistral AI:

Google LogoAdd as a preferred source on Google
Mail Logo

Relaterade artiklar

> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 05 > TrapDoor vill förgifta AI-kodningsverktyg
Darryl Linington, 2026-05-26 (Update: 2026-05-26)