TrapDoor 开始毒化人工智能编码工具

34 个恶意软件包。三个注册表。Socket Security 于 2026 年 5 月 25 日公开命名了此次行动。该行动代号为 TrapDoor，最早于 5 月 19 日留下痕迹，主波于 5 月 22 日 20:20 UTC 到达。到 Socket 发布时，已有 384 个版本被推送到 npm、PyPI 和 Crates.io。

TrapDoor 窃取的内容及其运行方式

第一个确认的软件包是 PyPI 上的eth-security-auditor.随后，一个账户集群迅速在所有三个注册表中窃取了数十个软件包。这些命名都是经过深思熟虑的：prompt-engineering-toolkit、defi-threat-scanner、wallet-security-checker、solidity-deploy-guard。每一个都是加密、DeFi、Solana 或人工智能工作流程中的常规工具。所有 384 个版本的有效载荷都是一致的：加密钱包、SSH 密钥、云凭证、AWS 和 GitHub 令牌、浏览器数据和环境变量。

Npm 软件包通过安装后钩子将 trap-core.js通过安装后钩子。它会根据实时 AWS 和 GitHub 端点验证被盗令牌，并通过 cron 作业、systemd、Git 钩子和 SSH 进行挖掘。PyPI 软件包会在导入时启动，从攻击者控制的 GitHub Pages 域获取 JavaScript 有效载荷，该域由外部托管，因此攻击者可以在不接触 PyPI 的情况下进行更新。Crates.io 软件包使用 build.rs 脚本定位本地密钥库，并将 XOR 加密数据推送到 GitHub Gists。Socket 的中位检测时间为 5 分 27 秒。周末的时间是故意安排的。

人工智能编码威胁

TrapDoor 还会在目标资源库中植入 .cursorrules 和 CLAUDE.md 文件，将指令隐藏在零宽度的 Unicode 字符中。读取这些文件的人工智能编码助手会看到例行安全扫描。运行该扫描会从本地机器中窃取机密。

攻击者打开了针对 BrowserUse、LangChain 和 LangFlow 的拉取请求，以测试这些文件是否能通过正常的代码审查。如果这些文件被合并，那么每个使用人工智能编码工具打开 repo 的开发人员都会成为攻击目标。攻击面是编辑器，而不是注册表。

关于开发者工具如何成为 2026 年的主要攻击面，请参阅我们对 VS 代码扩展漏洞的报道：