TrapDoor恶意软件打击加密开发供应链:通过npm/PyPI/Rust窃取AWS与GitHub密钥
TrapDoor恶意软件正在通过软件供应链打击加密与区块链开发者生态。研究人员称,TrapDoor在npm、PyPI与Crates.io中发现30+个恶意包,且受影响版本超过300个;活动大约于2026年5月22日前后启动,此前GitHub在5月20日披露其内部仓库遭到未授权访问。
TrapDoor会在常见的构建/依赖安装流程中触发:JavaScript通过post-install脚本,Python通过导入阶段执行,Rust通过构建脚本执行。运行后,它会扫描SSH密钥、API令牌、环境变量以及浏览器中存储的凭据,并将数据外传至攻击者控制的服务器。部分样本还会通过修改启动项或开发工具钩子来尝试维持持久化。
对加密开发者而言,这一事件风险更高,因为TrapDoor会寻找与Coinbase、MetaMask、Binance以及Solana相关工具对应的“钱包文件/凭据”。同时它还瞄准AWS凭据与GitHub访问令牌,可能让攻击者进入私有代码仓库并渗透部署流水线。部分恶意包还携带配置,用于影响AI编程助手,从而让自动化流程暴露敏感信息。
对交易者的市场含义:TrapDoor会放大加密基础设施与开发供应链的对手方/运营风险预期。即便代币基本面不变,市场情绪仍可能在事件响应与修复处置阶段走弱。
中性
TrapDoor属于运营安全与供应链事件,而非对任何主流加密网络的直接协议变更。因此通常很难带来长期的确定性价格冲击,整体更接近“中性”。
但在短期,它仍可能拖累情绪:一旦泄露SSH密钥、AWS凭据与GitHub令牌,相关加密基础设施与钱包相关服务可能需要紧急响应、重建与延后发布。交易者可能因此下调风险偏好,把“运营与对手方风险”叙事放大,并警惕依赖链的扩散。
最新报道强调攻击在npm/PyPI/Crates.io等多个生态中协同传播,并且与GitHub内部仓库的未授权访问时间点相呼应,进一步提高了修复期间的不确定性——这会让市场在事件处置阶段更谨慎。不过在缺乏“直接影响代币机制”的证据下,对所述加密资产价格的净方向影响更适合归类为中性。