💡 Theo đánh giá của RetroLab, TrapDoor là một minh chứng rõ ràng cho sự phức tạp ngày càng tăng của các cuộc tấn công vào chuỗi cung ứng phần mềm, khi kẻ tấn công không chỉ dừng lại ở việc phát tán mã độc mà còn khai thác cả quy trình đóng góp mã nguồn mở và các công cụ AI. Đội ngũ RetroLab nhận thấy các nhà phát triển cần nâng cao cảnh giác, đặc biệt khi sử dụng các gói từ kho lưu trữ công cộng và kiểm tra kỹ các tệp cấu hình liên quan đến AI.
Một chiến dịch tấn công chuỗi cung ứng phần mềm mới, mang tên TrapDoor, đã được phát hiện khi nhắm vào ba hệ sinh thái phát triển phổ biến là npm, PyPI và Crates.io. Với hơn 34 gói độc hại trải dài qua hơn 384 phiên bản, chiến dịch này nhằm mục tiêu đánh cắp thông tin xác thực và dữ liệu nhạy cảm từ các nhà phát triển, đặc biệt trong các lĩnh vực tiền mã hóa, DeFi, Solana và trí tuệ nhân tạo.
Theo công ty bảo mật Socket, hoạt động đầu tiên được ghi nhận vào lúc 20:20 UTC ngày 22 tháng 5 năm 2026. Các gói độc hại được tải lên theo từng đợt từ một cụm tài khoản, với tần suất dày đặc. Mục tiêu chính là đánh cắp secret của nhà phát triển, ví tiền mã hóa, khóa SSH, thông tin đăng nhập đám mây, dữ liệu trình duyệt và biến môi trường.

Các gói độc hại được xác định
Socket đã công bố danh sách các gói độc hại trên từng nền tảng:
Crates.io:
- move-analyzer-build
- move-compiler-tools
- move-project-builder
- sui-framework-helpers
- sui-move-build-helper
- sui-sdk-build-utils
npm:
- async-pipeline-builder
- build-scripts-utils
- chain-key-validator
- crypto-credential-scanner
- defi-env-auditor
- defi-threat-scanner
- deployment-key-auditor
- dev-env-bootstrapper
- eth-wallet-sentinel
- llm-context-compressor
- mnemonic-safety-check
- model-switch-router
- node-setup-helpers
- project-init-tools
- prompt-engineering-toolkit
- solidity-deploy-guard
- token-usage-tracker
- wallet-backup-verifier
- wallet-security-checker
- web3-secrets-detector
- workspace-config-loader
PyPI:
- cryptowallet-safety
- data-pipeline-check
- defi-risk-scanner
- env-loader-cli
- eth-security-auditor
- git-config-sync
- solidity-build-guard
Cơ chế tấn công đa dạng
Điểm đáng chú ý của TrapDoor là sự đa dạng trong phương thức phân phối mã độc. Trên npm, các gói sử dụng hook postinstall và tải xuống payload JavaScript từ xa (trap-core.js) để thực thi trong quá trình cài đặt. Payload này quét thông tin xác thực, kiểm tra tính hợp lệ của token AWS và GitHub, sau đó thiết lập persistence thông qua cron, systemd, Git hooks và di chuyển ngang qua SSH.
Trên Crates.io, các gói Rust tận dụng script build (build.rs) để kích hoạt mã độc. Chúng tìm kiếm các keystore cục bộ, mã hóa dữ liệu bằng khóa XOR cố định và gửi lên GitHub Gists. Trong khi đó, các gói Python trên PyPI được thiết kế để tự động thực thi khi import, tải JavaScript từ một domain GitHub Pages của kẻ tấn công (ddjidd564.github[.]io) và chạy bằng lệnh node -e.
"Kỹ thuật này cho phép gói Python ủy quyền thực thi cho một payload JavaScript từ xa, giúp kẻ tấn công linh hoạt hơn sau khi phát hành," Socket giải thích. "Bằng cách lưu trữ payload bên ngoài, kẻ tấn công có thể cập nhật hành vi mà không cần phát hành bản cập nhật PyPI mới."
Lợi dụng trợ lý AI để mở rộng tấn công
Một khía cạnh bất thường của chiến dịch là việc cấy các tệp .cursorrules và CLAUDE.md chứa hướng dẫn ẩn, nhằm đánh lừa các trợ lý AI như Claude hoặc Cursor thực hiện "quét bảo mật" dẫn đến phát hiện và đánh cắp secret. Điều này được thực hiện bằng cách mở các pull request (PR) trên các dự án AI và nhà phát triển phổ biến, bao gồm browser-use/browser-use, langchain-ai/langchain và langflow-ai/langflow.

Hoạt động PR này cho thấy TrapDoor không chỉ dừng lại ở việc đẩy các gói độc hại lên các hệ sinh thái mã nguồn mở. Socket cho biết tác nhân đe dọa có thể đang thử nghiệm xem liệu các tệp liên quan đến AI có thể được đưa vào thông qua quy trình đóng góp mã nguồn mở thông thường hay không, từ đó khiến các công cụ lập trình AI phân tích các hướng dẫn ẩn và áp dụng chúng.
Kết luận
Chiến dịch TrapDoor một lần nữa cho thấy các tác nhân đe dọa đang ngày càng nhắm vào quy trình làm việc của nhà phát triển, nhằm đánh cắp nhiều loại thông tin có thể giúp chúng đào sâu hơn vào môi trường mục tiêu cho các cuộc tấn công tiếp theo. "TrapDoor cho thấy cách kẻ tấn công kết hợp typosquatting gói truyền thống với các đường tấn công môi trường phát triển mới hơn," Socket nhận xét. "Tên gói được điều chỉnh để có vẻ liên quan đến phát triển tiền mã hóa, công cụ AI, thiết lập môi trường cục bộ và quy trình bảo mật. Phần mềm độc hại sau đó sử dụng các đường thực thi đặc thù của từng hệ sinh thái: build.rs trong Rust, postinstall hooks trong npm và thực thi tại thời điểm import trong Python."
Cần lưu ý rằng chiến dịch này không liên quan đến chiến dịch cùng tên do nhóm Satori của HUMAN công bố vào tuần trước, vốn tập trung vào gian lận quảng cáo thông qua 455 ứng dụng Android trên Google Play Store.
Nguồn: The Hacker News - https://thehackernews.com/2026/05/trapdoor-supply-chain-attack-spreads.html





