C
月内に
npm、PyPI、Crates.ioの3つのプラットフォームで、計34個の悪意あるパッケージを配布する「TrapDoor」サプライチェーン攻撃
📌 一言でいうと
npm、PyPI、Crates.ioの3つのプラットフォームで、計34個の悪意あるパッケージを配布する「TrapDoor」サプライチェーン攻撃が確認されました。この攻撃は主に暗号資産(DeFi, Solana, Sui, Aptos)やAI分野の開発者を標的としており、開発者の認証情報や暗号資産ウォレット、SSH鍵などの窃取を目的としています。攻撃者は正規のツールを装ったパッケージを配布し、インストール後のフックやビルドスクリプトを通じて永続性を確立し、データを外部へ送信します。
🔍該当判定
- 社内でJavaScript(npm)、Python(PyPI)、Rust(Crates.io)を用いた自社アプリの開発を行っている
- AI開発や仮想通貨(Solana, Sui, Aptos等)・DeFi関連のツールを導入・利用している
- 開発者が『prompt-engineering-toolkit』『solidity-deploy-guard』『defi-threat-scanner』などのパッケージをインストールした
- 開発環境でAWSの環境変数やSSH鍵、仮想通貨ウォレットを管理している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 信頼できないサードパーティ製パッケージのインストールを避け、公式ドキュメントで正当性を確認すること。2. パッケージ管理ツールの依存関係をロックし、ハッシュ検証を有効にすること。3. 開発環境における特権権限の最小化と、機密情報の環境変数管理の徹底を行うこと。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npm/PyPI/Crates.ioにおけるサプライチェーン攻撃(TrapDoor)について
お疲れさまです。開発環境における新たな脅威情報に関する共有です。
■ 概要
「TrapDoor」と呼ばれるサプライチェーン攻撃が確認されました。npm、PyPI、Crates.ioに配布された34個の悪意あるパッケージを通じて、開発者の認証情報、SSH鍵、および暗号資産ウォレット(Sui, Solana, Aptos等)を窃取します。特にAIやDeFi分野のツールを装っており、インストール時のフックやbuild.rsスクリプトを用いて静かに実行されます。
■ 影響範囲
- npm, PyPI, Crates.io を利用して開発を行うエンジニア
- 特に暗号資産・AI関連のライブラリを導入している環境
■ 対応手順
1. 開発チームに対し、不審なパッケージ(例: eth-security-auditor, prompt-engineering-toolkit等)の導入がないか確認を指示してください。
2. 依存関係の整合性チェック(lockファイルの使用)を徹底し、未知のパッケージが混入していないか監査してください。
3. 侵害が疑われる場合は、SSH鍵の更新および環境変数の再設定を推奨します。
■ 参考情報
- Socket Security Analysis
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。開発環境における新たな脅威情報に関する共有です。
■ 概要
「TrapDoor」と呼ばれるサプライチェーン攻撃が確認されました。npm、PyPI、Crates.ioに配布された34個の悪意あるパッケージを通じて、開発者の認証情報、SSH鍵、および暗号資産ウォレット(Sui, Solana, Aptos等)を窃取します。特にAIやDeFi分野のツールを装っており、インストール時のフックやbuild.rsスクリプトを用いて静かに実行されます。
■ 影響範囲
- npm, PyPI, Crates.io を利用して開発を行うエンジニア
- 特に暗号資産・AI関連のライブラリを導入している環境
■ 対応手順
1. 開発チームに対し、不審なパッケージ(例: eth-security-auditor, prompt-engineering-toolkit等)の導入がないか確認を指示してください。
2. 依存関係の整合性チェック(lockファイルの使用)を徹底し、未知のパッケージが混入していないか監査してください。
3. 侵害が疑われる場合は、SSH鍵の更新および環境変数の再設定を推奨します。
■ 参考情報
- Socket Security Analysis
対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] Supply Chain Attack (TrapDoor) on npm/PyPI/Crates.io
Dear Team,
We are sharing information regarding a new supply chain attack campaign named "TrapDoor."
■ Overview
Attackers have deployed 34 malicious packages across npm, PyPI, and Crates.io. The campaign specifically targets developers in the AI and Cryptocurrency (DeFi, Solana, Sui, Aptos) sectors to steal credentials, SSH keys, and crypto wallets. The malware uses post-install hooks and build scripts to establish persistence and exfiltrate data.
■ Scope
- Developers using npm, PyPI, and Crates.io
- Environments utilizing AI or Blockchain-related development tools
■ Action Plan
1. Instruct development teams to audit their dependencies for suspicious packages (e.g., eth-security-auditor, prompt-engineering-toolkit).
2. Enforce the use of lock files and verify package hashes to prevent the injection of malicious versions.
3. In case of suspected compromise, rotate SSH keys and update environment variables immediately.
■ Reference
- Socket Security Analysis
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing information regarding a new supply chain attack campaign named "TrapDoor."
■ Overview
Attackers have deployed 34 malicious packages across npm, PyPI, and Crates.io. The campaign specifically targets developers in the AI and Cryptocurrency (DeFi, Solana, Sui, Aptos) sectors to steal credentials, SSH keys, and crypto wallets. The malware uses post-install hooks and build scripts to establish persistence and exfiltrate data.
■ Scope
- Developers using npm, PyPI, and Crates.io
- Environments utilizing AI or Blockchain-related development tools
■ Action Plan
1. Instruct development teams to audit their dependencies for suspicious packages (e.g., eth-security-auditor, prompt-engineering-toolkit).
2. Enforce the use of lock files and verify package hashes to prevent the injection of malicious versions.
3. In case of suspected compromise, rotate SSH keys and update environment variables immediately.
■ Reference
- Socket Security Analysis
Priority: High
Deadline: Immediate review