APTOS、SUI与SOLANA平台加密开发者遭遇恶意软件门罗攻击_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

APTOS、SUI与SOLANA平台加密开发者遭遇恶意软件门罗攻击

2026-05-25 19:43:33

新型供应链恶意软件“陷阱门”瞄准加密与人工智能开发环境

一款名为“陷阱门”的新型供应链恶意软件活动正通过npm、PyPI及Crates.io平台发布的恶意软件包，针对加密及人工智能开发者环境展开攻击。该活动涉及超过34个恶意软件包及384个相关版本，其载荷设计用于窃取SSH密钥、钱包数据、AWS凭证、GitHub令牌、浏览器配置文件、API密钥、环境变量及本地开发配置文件。受影响软件包名称伪装成开发者工具、钱包安全组件、安全扫描器、Solidity实用程序、ai提示工具及Move编译包等形式。

攻击手段与传播路径

此次攻击对加密领域的指向性尤为明确。“陷阱门”会专门搜寻与Solana、Sui及Aptos相关的钱包与密钥库数据，同时广泛收集钱包扩展数据及可能解锁代码仓库、云账户或部署系统的开发者凭证。该活动的危险性在于其完全嵌入常规开发工作流程中，受污染的依赖项可在安装、导入或构建过程中自动执行，此时开发者往往尚未意识到软件包的恶意属性，这使得“陷阱门”比普通钓鱼链接或虚假钱包应用更具威胁。

在npm平台，该恶意软件利用安装后钩子执行名为trap-core.js的共享载荷。该载荷会扫描系统凭证、验证已窃取的AWS与GitHub令牌、尝试基于SSH的横向移动，并通过Git钩子、Shell钩子、定时任务、系统服务及ai助手指令文件建立持久化驻留。Crates.io平台上的恶意包则通过篡改build.rs脚本针对Sui和Move开发者发起攻击，在Rust项目编译过程中，此类脚本可自动执行，使得攻击者能在开发者运行最终软件前直接访问本地钱包密钥库。

PyPI平台的恶意包则采用另一种执行路径，在导入过程中下载并运行远程JavaScript代码，使得攻击者无需发布新版Python包即可从外部更新恶意行为。“陷阱门”同时尝试渗透ai辅助开发环境，隐藏在.cursorrules与CLAUDE.md等文件中的恶意指令会诱导编程助手执行伪造的“安全扫描”工作流程，进而泄露敏感信息。

加密供应链持续承压

此次事件表明，攻击者正从单纯针对已部署智能合约或终端用户钱包，转向深度渗透开发者基础设施。类似模式近期亦出现在针对GitHub和Packagist的供应链攻击中，其将Linux负载隐藏于软件包安装流程；Bitwarden CLI供应链事件同样暴露出开发环境与自动化构建管道的安全隐患。

对Aptos、Sui和Solana开发者而言，最直接的风险在于本地密钥暴露。测试钱包、部署者钱包、SSH密钥和云令牌常驻留于构建和发布软件的同一设备，一旦这些密钥遭窃，攻击者便能以开发者设备为跳板，侵入代码仓库、持续集成系统、基础设施账户乃至生产环境。这种风险已超越单一区块链范畴，JavaScript、Python和Rust软件包生态系统普遍应用于钱包、DeFi应用、交易所、跨链桥、区块链浏览器及基础设施团队，恶意工具包仅需在特定环境中成功安装数次，便可能引发重大安全漏洞。

防御建议与行业警示

加密开发团队应立即采取以下防御措施：审计近期安装的依赖项、移除已披露的恶意软件包、轮换暴露的SSH密钥、撤销GitHub与云平台令牌、检查钱包密钥库访问权限、审查Git钩子与Shell配置文件，并筛查持续集成日志中的异常外联行为。使用ai编程工具的团队应检查项目指令文件是否含有隐藏或异常内容，特别是影响助手行为的.cursorrules、CLAUDE.md等文件。“陷阱门”事件表明，ai开发工作流已成为攻击面的一部分，而不仅是生产力工具。

尽管该活动已向相关代码仓库平台报告，但事件带来的警示远不止于首批发现的34个软件包。攻击者将依赖层、构建层与ai辅助层作为突破口，正是因为这些层面最贴近钱包密钥、部署凭证与生产基础设施。未来重大加密安全事件可能并非始于链上攻击，而源于某个看起来足够实用以致被安装的软件包。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文