TrapDoor供應鏈攻擊透過NPM、PyPI、Crates散布竊資軟體

軟體供應鏈攻擊的活動頻傳，現在駭客更傾向同時對多個開源套件生態系下手。資安公司Socket揭露一起攻擊行動TrapDoor，目標鎖定加密貨幣、去中心化金融（DeFi）、Solana，以及AI社群開發者，駭客於NPM、PyPI、Crates.io滲透34個套件，上傳至少384個惡意套件版本，目的是竊取開發者的機密資料，包括加密貨幣錢包、SSH金鑰、雲端憑證、瀏覽器資料，以及環境變數。