加密领域正面临新一轮针对开发者的定向盗窃行动，安全公司 Socket 本周披露了一种名为 TrapDoor 的供应链攻击手段。该攻击已渗透至三个主要开源编程代码库，涉及超过 34 个恶意软件包及数百个相关版本文件。此次攻击的核心逻辑发生了显著转变，攻击者不再满足于广撒网式的社会工程学欺诈，而是将矛头精准指向了掌握关键基础设施权限的开发者群体。这些开发者的本地工作站往往同时存储着钱包私钥、SSH 密钥、GitHub 令牌、云服务登录凭据以及生产环境访问权限，是构建加密技术与人工智能应用的关键节点。

午方 AI 梳理发现，尽管 Socket 尚未公布具体的受害者名单或资金损失金额，但这些恶意软件包在 npm、PyPI 和 Crates.io 等主流代码库中仍处于活跃状态。攻击者利用 JavaScript、Python 和 Rust 三种编程语言编写了伪装成开发辅助工具、安全扫描程序、钱包管理工具、Solidity 编程辅助程序、AI 开发工具包以及 Sui 或 Move 框架构建辅助工具的恶意代码。这些软件包的命名极具迷惑性，如'wallet-security-checker'和'defi-risk-scanner'，旨在诱导加密或 AI 开发者在不加甄别的情况下进行安装。一旦安装完成，恶意代码便会立即启动远超软件声明功能的数据窃取程序。

在技术执行层面，npm 上的恶意包会深度扫描开发者机器，试图提取私钥、密码、GitHub 令牌及云服务登录信息，并利用窃取到的凭据尝试入侵其他系统，同时植入持久化后门文件。SSH 密钥作为访问服务器、代码仓库及其他设备的核心凭证，一旦失窃，攻击者即可利用被入侵的笔记本电脑作为跳板，进而渗透至企业的整个基础设施系统。

此外，攻击者还利用了.curserrules 和 claude.md 等通常用于向 AI 编码工具提供项目配置指令的文件，通过零宽 Unicode 字符隐藏指令，诱导未来的 AI 助手在执行虚假的'安全扫描'任务时泄露敏感信息。这种策略使得攻击性质从单纯的软件包投毒演变为针对开发者工作环境的系统性恶意软件攻击。

午方 AI 注意到，软件包的安装仅仅是攻击链条的起始环节，真正的目标直指开发者的完整工作站，包括钱包文件、代码仓库、浏览器数。针对不同技术栈，攻击手段呈现出高度定制化特征：使用 Rust 编写的恶意包会在编译过程中执行恶意的 build.rs 脚本，专门针对 Sui 和 Solana 生态中的 Move 框架开发者；PyPI 上的恶意包则在导入阶段执行远程 JavaScript 代码；而 npm 上的恶意包则利用安装后的后处理脚本实施攻击。这种多语言、多阶段的攻击组合极大地增加了防御难度。

目前，Socket 已将识别出的恶意软件包上报给相关代码库管理员，并将其正式归类为有害软件。

然而，攻击者的行动并未止步于此，他们还向 AI 和开发项目提交了拉取请求，试图通过正常的开源贡献渠道将.curserrules 和 CLAUDE.md 文件植入项目代码库。这一动向表明，攻击者正在利用开源社区的协作机制作为新的渗透路径。随着 AI 辅助编程的普及，针对开发者本地环境及 AI 工具链的供应链攻击将成为未来 Web3 安全领域的主要威胁，开发者需对第三方依赖包及 AI 配置文件的来源保持高度警惕。