coin-img-ETHETH-1.36%coin-img-BTCBTC+0.25%coin-img-HYPEHYPE+3.15%coin-img-SOLSOL-1.13%coin-img-XRPXRP-1.01%coin-img-USDCUSDC+0.00%coin-img-TONCOINTONCOIN-0.78%coin-img-DOGEDOGE-1.13%coin-img-ETHETH-1.36%coin-img-BTCBTC+0.25%coin-img-HYPEHYPE+3.15%coin-img-SOLSOL-1.13%coin-img-XRPXRP-1.01%coin-img-USDCUSDC+0.00%coin-img-TONCOINTONCOIN-0.78%coin-img-DOGEDOGE-1.13%coin-img-ETHETH-1.36%coin-img-BTCBTC+0.25%coin-img-HYPEHYPE+3.15%coin-img-SOLSOL-1.13%coin-img-XRPXRP-1.01%coin-img-USDCUSDC+0.00%coin-img-TONCOINTONCOIN-0.78%coin-img-DOGEDOGE-1.13%coin-img-ETHETH-1.36%coin-img-BTCBTC+0.25%coin-img-HYPEHYPE+3.15%coin-img-SOLSOL-1.13%coin-img-XRPXRP-1.01%coin-img-USDCUSDC+0.00%coin-img-TONCOINTONCOIN-0.78%coin-img-DOGEDOGE-1.13%

供應鏈攻擊"TrapDoor"涉加密貨幣盜竊 波及 npm、PyPI、Crates.io 逾34個惡意套件

ME News 報道,5月25日(UTC+8),保安公司 Socket Security 發現一宗名為"TrapDoor"的供應鏈攻擊,屬加密貨幣盜竊行動,牽涉 npm、PyPI 及 Crates.io 平台逾34個惡意套件,並涉及384個相關版本。事件主要針對加密貨幣、DeFi、Solana、Sui、Move 以及 AI 領域的開發者。 Socket 指出,攻擊者會盜取 SSH 金鑰、錢包資料、AWS 憑證、GitHub token、瀏覽器資料及環境變數等敏感資訊。技術路徑方面,npm 套件透過 postinstall hook 執行 trapcore.js;PyPI 套件在被 import 時會執行遠端 JavaScript;Crates.io 套件則利用 build.rs 收集本機 keychain 資料。 Socket 已標記相關惡意套件,並向各套件註冊庫通報處理。(來源:MLion)
精選
SUI
SUI-4.19%
MOVE
MOVE-2.44%
免責聲明:以上內容均來源自第三方觀點,不代表 BingX 的立場,亦不構成任何財務建議。詳情請參閱《使用條款》