TrapDoor wil AI-coderingstools vergiftigen

Schadelijke pakketten gedetecteerd op npm, PyPI en Crates.io in de TrapDoor toeleveringsketencampagne.

TrapDoor plant 34 schadelijke pakketten op npm, PyPI en Crates.io die gericht zijn op crypto- en AI-ontwikkelaars om wallets, SSH-sleutels en cloudgegevens te stelen.

Darryl Linington (vertaald door DeepL / Ninh Duy), Gepubliceerd 26-05-2026 🇺🇸 🇪🇸 ...

Vierendertig schadelijke pakketten. Drie registers. Socket Security noemde de campagne publiekelijk op 25 mei 2026. De operatie, met de codenaam TrapDoor, liet de eerste sporen achter op 19 mei, met de grootste golf die 22 mei om 20:20 UTC arriveerde. Tegen de tijd dat Socket werd gepubliceerd, waren er 384 versies gepushed via npm, PyPI en Crates.io.

Wat TrapDoor steelt en hoe het draait

Het eerste bevestigde pakket was eth-security-auditor op PyPI. Tientallen volgden snel op alle drie de registers van een cluster van accounts die in uitbarstingen werkten. De naamgeving is opzettelijk: prompt-engineering-toolkit, defi-threat-scanner, wallet-security-checker, solidity-deploy-guard. Elk gaat door voor een routinehulpprogramma in crypto-, DeFi-, Solana- of AI-workflows. De payload is consistent voor alle 384 versies: cryptowallets, SSH-sleutels, cloudgegevens, AWS- en GitHub-tokens, browsergegevens en omgevingsvariabelen.

Npm-pakketten laten trap-core.js vallen via post-install haken. Het valideert gestolen tokens tegen live AWS en GitHub eindpunten en graaft in via cronjobs, systemd, Git hooks en SSH. PyPI-pakketten vuren bij het importeren, waarbij een JavaScript payload wordt opgehaald van een door de aanvaller gecontroleerd GitHub Pages domein, dat extern wordt gehost zodat de aanvaller het kan bijwerken zonder PyPI aan te raken. Crates.io pakketten gebruiken een build.rs script, lokaliseren lokale sleutelbewaarplaatsen en pushen XOR-vercijferde gegevens naar GitHub Gists. De mediane detectietijd van Socket was vijf minuten en 27 seconden. De timing van het weekend was opzettelijk.

De AI-coderingsbedreiging

TrapDoor plant ook .cursorrules en CLAUDE.md bestanden in doelrepositories, en verbergt instructies in Unicode karakters van nul breedte. Een AI-codeerassistent die deze bestanden leest, ziet een routinematige beveiligingsscan. Het uitvoeren ervan exfiltreert geheimen van de lokale machine.

De aanvaller opende pull requests tegen BrowserUse, LangChain en LangFlow om te testen of deze bestanden een normale code review zouden overleven. Als ze worden samengevoegd, wordt elke ontwikkelaar die de repo opent met een AI-codeerprogramma een doelwit. Het aanvalsoppervlak is de editor, niet het register.

Voor hoe ontwikkelaarstools het primaire aanvalsoppervlak werden in 2026, zie onze berichtgeving over de VS Code extensie inbreuk die GitHub, OpenAI en Mistral AI trof: