TrapDoor malware támadás célozza a kriptós és AI-fejlesztőket
Aktív TrapDoor kampány fertőzi az npm, PyPI és Rust csomagokat, kriptotárcákat és felhőkulcsokat lopva a fejlesztői ellátási láncon át.
Mi az a TrapDoor malware kampány és hogyan csapdázza a fejlesztőket
A TrapDoor egy frissen azonosított, kifejezetten fejlesztők ellen irányuló malware kampány, amelyet a Socket nevű fejlesztői biztonsági platform szúrt ki 2026 májusában. A támadók nem klasszikus vírusokkal dolgoznak, hanem a fejlesztői ellátási láncot mérgezik meg: több mint harminc rosszindulatú csomagot és közel négyszáz verziót toltak fel különböző ökoszisztémákba, hogy azok „normál” fejlesztői eszköznek tűnjenek.
A cél, hogy a kriptós, DeFi-s, AI- és biztonsági fejlesztők észrevétlenül telepítsék ezeket a csomagokat a mindennapi munkájuk során.
A háttérben futó kód aztán adatokat gyűjt és titokban kapcsolatba lép a támadók szervereivel, így a fejlesztők gépe gyakorlatilag hátsó ajtót kap, miközben ők csak egy új helper vagy tool telepítésének hiszik az egészet.
Koordinált supply chain támadás fertőzi az npm, PyPI és Rust csomagokat
A Socket jelentése szerint a TrapDoor egy aktív, több ökoszisztémát érintő supply chain támadás, amely egyszerre célozza az npm-et, a Python világában használt PyPI-t és a Rust fejlesztők által használt Crates csomagtárat. A rosszindulatú csomagok nevei kifejezetten megtévesztők: úgy néznek ki, mintha ártalmatlan „development helper”, projektindító vagy Solidity tooling eszközök lennének, illetve Sui és Move build helperként pózolnak.

(Forrás: Socket)
A kampány szervezetten, folyamatos frissítésekkel dolgozik, azaz a támadók rendszeresen új verziókat tolnak fel, hogy mindig legyen „friss” és vonzó alternatíva a fejlesztők számára. A Socket CTO-ja, Ahmad Nassri szerint a GitHub aktivitás alapján az egész kampány erősen AI-asszisztált benyomást kelt, gyors, sablonszerű iterációval és prompt-injekciós dokumentációval kombinálva a valóban működő malware komponenseket.
Kriptotárca lopás és GitHub token vadászat a fejlesztői eszközökön keresztül
A TrapDoor célja nem csak az, hogy láthatatlanul ott üljön a fejlesztő gépén, hanem hogy minél több érzékeny hozzáférést begyűjtsön. A Socket elemzése szerint a malware kriptotárca-adatokat, böngészőbővítményeket, SSH kulcsokat, felhőszolgáltatói crediteket, GitHub tokeneket és különféle API kulcsokat vadászik.
Kiemelten célozza a népszerű tárcákat és szolgáltatásokat, például a Coinbase, Binance, Solana, Sui, Aptos és MetaMask walletjeit, valamint a Brave böngészőt.
A kampány külön érdekessége, hogy a kód rejtett utasításokat fecskendez be AI kódasszisztensek, például a Claude és a Cursor által futtatott folyamatokba, és „security scan” vagy hasonló workflow mögé rejti az adatgyűjtést. Így gyakorlatilag a fejlesztő saját eszközei és automatizmusai dolgoznak a támadók kezére.
Hogyan védekezhetnek a kriptós és AI-fejlesztők a TrapDoor fenyegetésével szemben
A TrapDoor ellen nem egy csodafegyver, hanem több, egymásra épülő biztonsági rutin ad érdemi védelmet. Alapszabály, hogy npm, PyPI vagy Crates csomag telepítése előtt mindig nézd meg a letöltésszámot, a maintainer(eke)t, a changelogot és a GitHub repo aktivitását, és kerüld azokat a „helper” pakkokat, amelyek frissen jelentek meg, de gyanúsan általános nevet viselnek.
A kriptós és AI-fejlesztőknek különösen fontos a tárcák és kulcsok szeparálása: fejlesztői gépen csak minimális mennyiségű kriptó legyen, a valódi tőke hidegtárcán vagy dedikált gépen. Használj jelszókezelőt, hardveres kulcsot, többfaktoros hitelesítést GitHubhoz, felhőhöz és tárcákhoz, és rendszeresen futtass kódelemző és malware-szkennereket. Végül érdemes belső policyt kialakítani: új csomag csak review után kerülhet be a projektbe, főleg ha tárcákkal, kulcsokkal vagy AI-eszközökkel érintkezik.
DeFI
A decentralizált perps forgalom már a centralizált tőzsdék 14%-ánál jár, a Hyperliquid pedig az onchain piac 40%-át adja a Pantera Capital adatai szerint.
Blokklánc
A Connectia Trust az OCC előzetes jóváhagyásával indulhat, de a Sony Bank csak a végső engedélyek után bocsátana ki dollárhoz kötött stablecoint.
Bitcoin
A háromnapos beáramlás után szerdán újabb 84,9 millió dollár távozott a Bitcoin ETF-ekből, miközben a spot kereslet még óvatos maradt a piacon.
Blokklánc
A HSBC, a Citi és további nagybankok tokenizált bankbetétekkel próbálnák ki az éjjel-nappal elérhető, határon átnyúló fizetéseket a SWIFT főkönyvén.







