Notebookcheck Logo

Компания TrapDoor поставила перед собой задачу отравить инструменты для кодирования ИИ

Вредоносные пакеты, обнаруженные на npm, PyPI и Crates.io в рамках кампании по созданию цепочки поставок TrapDoor.
ⓘ www.magnific.com
Вредоносные пакеты, обнаруженные на npm, PyPI и Crates.io в рамках кампании по созданию цепочки поставок TrapDoor.
TrapDoor устанавливает 34 вредоносных пакета на npm, PyPI и Crates.io, нацеленных на разработчиков криптовалют и ИИ, чтобы украсть кошельки, ключи SSH и учетные данные облака.
PC и всё, что связано с ним рабочие станции безопасность Софт ноутбуки Hack / Data Breach

Тридцать четыре вредоносных пакета. Три реестра. Компания Socket Security публично назвала эту кампанию 25 мая 2026 года. Операция под кодовым названием TrapDoor оставила свои самые ранние следы 19 мая, а основная волна пришла 22 мая в 20:20 UTC. К моменту публикации Socket на npm, PyPI и Crates.io было выложено 384 версии.

Что крадет TrapDoor и как он работает

Первым подтвержденным пакетом был eth-security-auditor на PyPI. За ним быстро последовали десятки пакетов из всех трех реестров от группы учетных записей, работающих очередями. Названия даны намеренно: prompt-engineering-toolkit, defi-threat-scanner, wallet-security-checker, solidity-deploy-guard. Каждый из них выдается за обычную утилиту в криптовалюте, DeFi, Solana или рабочих процессах ИИ. Полезная нагрузка одинакова для всех 384 версий: криптовалютные кошельки, SSH-ключи, облачные учетные данные, токены AWS и GitHub, данные браузера и переменные окружения.

Пакеты Npm добавляют trap-core.js через постинсталляционные крючки. Он проверяет украденные токены на живых конечных точках AWS и GitHub и проникает внутрь через задания cron, systemd, крючки Git и SSH. Пакеты PyPI срабатывают при импорте, получая полезную нагрузку JavaScript из контролируемого злоумышленником домена GitHub Pages, размещенного на внешнем хостинге, чтобы злоумышленник мог обновлять его, не трогая PyPI. Пакеты Crates.io используют скрипт build.rs, находят локальные хранилища ключей и отправляют XOR-шифрованные данные в Gists на GitHub. Среднее время обнаружения Socket составило 5 минут и 27 секунд. Время выходного дня было выбрано намеренно.

Угроза кодирования ИИ

TrapDoor также подбрасывает в целевые репозитории файлы .cursorrules и CLAUDE.md, скрывая инструкции внутри символов Юникода нулевой ширины. ИИ-помощник по кодированию, читающий эти файлы, видит обычную проверку безопасности. Запустив его, Вы получите секреты с локальной машины.

Злоумышленник открыл запросы на исправление BrowserUse, LangChain и LangFlow, чтобы проверить, выдержат ли эти файлы обычную проверку кода. Если они будут объединены, каждый разработчик, открывший репозиторий с помощью инструмента кодирования AI, станет мишенью. Поверхность атаки - это редактор, а не реестр.

О том, как инструменты разработчика стали основной поверхностью атаки в 2026 году, читайте в нашем репортаже о Взлом расширения VS Code которая поразила GitHub, OpenAI и Mistral AI:

Google LogoAdd as a preferred source on Google
Mail Logo

Ещё по теме

'
> Обзоры Ноутбуков, Смартфонов, Планшетов. Тесты и Новости > Новости > Архив новостей > Архив новостей за 2026 год, 05 месяц > Компания TrapDoor поставила перед собой задачу отравить инструменты для кодирования ИИ
Darryl Linington, 2026-05-26 (Update: 2026-05-26)