Notebookcheck Logo

TrapDoor ha deciso di avvelenare gli strumenti di codifica AI

Pacchetti dannosi rilevati su npm, PyPI e Crates.io nella campagna della catena di approvvigionamento TrapDoor.
ⓘ www.magnific.com
Pacchetti dannosi rilevati su npm, PyPI e Crates.io nella campagna della catena di approvvigionamento TrapDoor.
TrapDoor installa 34 pacchetti maligni su npm, PyPI e Crates.io, mirando agli sviluppatori di crittografia e AI per rubare portafogli, chiavi SSH e credenziali cloud.
Desktop Workstation Security Software Laptop / Notebook Hack / Data Breach

Trentaquattro pacchetti dannosi. Tre registri. Socket Security ha nominato pubblicamente la campagna il 25 maggio 2026. L'operazione, con il nome in codice TrapDoor, ha lasciato le prime tracce il 19 maggio, mentre l'ondata principale è arrivata il 22 maggio alle 20:20 UTC. Al momento della pubblicazione di Socket, 384 versioni erano state diffuse su npm, PyPI e Crates.io.

Cosa ruba TrapDoor e come funziona

Il primo pacchetto confermato era eth-security-auditor su PyPI. Ne sono seguiti rapidamente decine in tutti e tre i registri da un gruppo di account che lavorano a raffica. La denominazione è deliberata: prompt-engineering-toolkit, defi-threat-scanner, wallet-security-checker, solidity-deploy-guard. Ognuno di essi passa per un'utilità di routine nei flussi di lavoro di crittografia, DeFi, Solana o AI. Il carico utile è coerente in tutte le 384 versioni: portafogli crittografico, chiavi SSH, credenziali cloud, token AWS e GitHub, dati del browser e variabili d'ambiente.

I pacchetti Npm rilasciano trap-core.js tramite ganci post-installazione. Convalida i token rubati rispetto agli endpoint live di AWS e GitHub e scava attraverso cron job, systemd, hook Git e SSH. I pacchetti PyPI si attivano all'importazione, recuperando un payload JavaScript da un dominio GitHub Pages controllato dall'aggressore, ospitato esternamente in modo che l'aggressore possa aggiornarlo senza toccare PyPI. I pacchetti di Crates.io utilizzano uno script build.rs, individuano i keystore locali e inviano i dati crittografati XOR alle Gist di GitHub. Il tempo di rilevamento mediano di Socket è stato di cinque minuti e 27 secondi. La tempistica del fine settimana era intenzionale.

La minaccia della codifica AI

TrapDoor installa anche file .cursorrules e CLAUDE.md nei repository di destinazione, nascondendo le istruzioni all'interno di caratteri Unicode a larghezza zero. Un assistente di codifica AI che legge questi file vede una scansione di sicurezza di routine. Eseguendola, si esfiltrano i segreti dalla macchina locale.

L'aggressore ha aperto richieste di pull contro BrowserUse, LangChain e LangFlow per verificare se questi file sopravvivono a una normale revisione del codice. Se vengono uniti, ogni sviluppatore che apre il repo con uno strumento di codifica AI diventa un bersaglio. La superficie di attacco è l'editor, non il registro.

Per sapere come gli strumenti per gli sviluppatori sono diventati la principale superficie di attacco nel 2026, consulti il nostro articolo sulla violazione dell'estensione di VS Code Violazione dell'estensione di VS Code che ha colpito GitHub, OpenAI e Mistral AI:

Google LogoAdd as a preferred source on Google
Mail Logo

Articoli collegati

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2026 05 > TrapDoor ha deciso di avvelenare gli strumenti di codifica AI
Darryl Linington, 2026-05-26 (Update: 2026-05-26)