TrapDoorは、npm、PyPI、Crates.ioの3大レジストリに34の悪質なパッケージを拡散し、開発者の暗号資産ウォレット、SSHキー、AWS認証情報、GitHubトークンなどを狙う組織的なサプライチェーン攻撃である。 この攻撃は特に暗号資産、DeFi、AI分野の開発者を標的としており、CursorやClaude CodeなどのAIコーディングツールの設定ファイルに、人間には見えない「ゼロ幅文字」で悪意ある命令を埋め込むという独自の手口が確認されている。

Create a landscape editorial hero image for this Studio Global article: What is the "TrapDoor" supply chain attack, how does it work across npm, PyPI, and Crates.io, which developer communities and cryptocurrency. Article summary: Here is a comprehensive breakdown of the TrapDoor supply chain attack.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# TrapDoor Crypto Stealer Supply Chain Attack Hits 34 Packages and Hundreds of Versions Across npm, PyPI, and Crates.io. TrapDoor crypto stealer hits 36 malicious packages across n" source context "TrapDoor Crypto Stealer Supply Chain Attack Hits 34 Packages..." Reference image 2: visual subject "# TrapDoor Crypto Stealer Supply Chain Attack Hits 34 Packages and Hundreds of Versions Across npm, PyPI, and Crates.io. TrapDoor crypto stealer hits 36 malicious pac
セキュリティ企業 Socket の研究チームが、「TrapDoor」と名付けられた新手のソフトウェアサプライチェーン攻撃を発見しました 。この攻撃は、JavaScriptの npm、Pythonの PyPI、Rustの Crates.io という世界三大オープンソースパッケージレジストリを同時に悪用し、開発者の持つ重要な認証情報を盗み出すものです
。
攻撃の初動は2026年5月22日午後8時20分(UTC)に確認されており、これまでに34種類もの悪質なパッケージが、合計384以上のバージョンにわたって拡散されました 。特に、暗号資産、DeFi(分散型金融)、Solana、Sui、Move、そしてAI分野の開発者が主な標的となっています
。
TrapDoor の真に危険な点は、複数のエコシステムを跨ぐだけでなく、AIコーディングアシスタントそのものを武器にする、前例のない手法にあります。攻撃者は、プロジェクトの設定ファイルに「ゼロ幅ユニコード文字」と呼ばれる特殊な文字を使い、人間には見えない指示を埋め込みます。この指示を、Cursor や Claude Code といったAIツールが読み込んでしまい、「定例のセキュリティスキャン」と偽って、機密情報を外部に送信するよう仕向けられるのです 。
TrapDoor は、各レジストリの特性に合わせて巧妙に手口を変えています 。
最も多くの悪質なパッケージが確認されたのは npm です。パッケージインストール時に自動実行される postinstall フックが悪用され、約1,149行にも及ぶ認証情報収集スクリプト「trap-core.js」が実行されます。このスクリプトは、開発者のマシン内をくまなくスキャンし、機密情報を探索・収集して、攻撃者の管理するサーバーへ送信します 。
Python向けの悪質なパッケージは、プログラムにインポートされた瞬間に、遠隔地からJavaScriptのペイロードをダウンロードして実行する仕組みでした。一度動き出せば、npm版と同様のロジックで認証情報を盗み出します 。
Rustの主要レジストリでは、ビルドスクリプト build.rs が悪用されました。これは、パッケージの本来の機能が使われる前の「ビルド段階」で認証情報を流出させるコードが実行されることを意味します 。
これらのパッケージは、token-usage-tracker や prompt-engineering-toolkit、eth-wallet-security-auditor など、一見すると開発に役立つ正規のツールのような名前で偽装されていました 。
TrapDoor のペイロードは、驚くほど広範な機密情報を狙います。Socketの分析によると、その標的は多岐にわたります 。
特に、MetaMask や Phantom といったブラウザ拡張ウォレットのデータも標的であることが明記されています 。GitHubトークンが盗まれた場合、プライベートなソースコードリポジトリへの不正アクセスや、CI/CDパイプラインへの悪意あるコード注入、さらには開発者アカウントを踏み台にした組織内部へのラテラルムーブメント(水平移動)に悪用される恐れがあります
。
TrapDoor の最も技術的に斬新な点は、AIコーディングアシスタントの「信頼」を悪用する点です。マルウェアは、Cursor や Claude Code といったAIツールがプロジェクト固有の指示を読み込むために使う .cursorrules や CLAUDE.md といった設定ファイルを書き換えようとします 。
このファイルの中に、「ゼロ幅ユニコード文字」(U+200BやU+200C、U+FEFFなど)を使って、隠し指示が埋め込まれます。これらの文字はテキストエディタ上では全く表示されず、人間のコードレビューでは絶対に気づくことができません 。しかし、AIはこれらの文字も含めてテキストを解析するため、以下のような悪意ある行動を「正規の指示」として実行してしまう可能性があります。
これは二段構えの極めて危険な攻撃です。まずパッケージが開発環境そのものを汚染し、次にAI設定ファイルに仕込まれた毒が、開発者が信頼するAIツールをスパイに変えてしまうのです 。
Socketの検知システムは、TrapDoor の悪質なリリースを中央値でわずか5分27秒、最速では58秒で検知しました。この驚異的な速さにより、研究者たちは一見無関係に見えた多数のパッケージ公開が、一つの組織的なキャンペーンであることを48時間以内に突き止めることができました 。
発見された3つのレジストリ全ての34個の悪質なパッケージは、各レジストリの管理者に報告され、現在は削除されています 。
もし、ご自身やチームがこれらのパッケージをインストールしてしまった可能性がある場合、直ちに以下の対応を実行してください。
何よりも最優先です。暗号資産ウォレットのシードフレーズを再生成し、新しいウォレットに資金を移動させてください。AWS IAMキー、GitHubの個人アクセストークン、SSH鍵ペア、環境変数に保存されたAPIトークンも、すべて再発行します 。CI/CD連携用のOAuthトークンも必ず無効化してください。
npm auditpip listCargo.lock を実行し、疑わしいパッケージが含まれていないか確認します。Gitの履歴にあるロックファイルを遡り、既知の悪質なパッケージ名が無いか検索してください。もし見つかったら、そのパッケージを削除し、クリーンな状態で依存関係を再インストールします 。
~/.bashrc, ~/.zshrc, ~/.profile, ~/.config/fish/config.fish などのファイルに、不審なエイリアスや、コメントアウトされていない curl や wget コマンドが無いか確認します。これらは攻撃者が持続的にアクセスするためのバックドアとなる可能性があります 。
全てのリポジトリの .git/hooks/ ディレクトリを調べ、身に覚えのない pre-commit, post-commit, pre-push などのフックが無いか確認してください。GitHubトークンを狙うこの攻撃の特性上、あなたのアカウント権限でリポジトリが改ざんされているリスクがあります 。
.github/workflows/ ディレクトリ内に、見慣れないワークフローファイルが追加されていないか、また、不審な curl や wget による外部送信処理、不明なサードパーティActionが組み込まれていないかを確認します。合わせてActionsの実行ログに、異常な外部へのネットワーク通信がないかもチェックしてください。
プロジェクト内の全ての .cursorrules と CLAUDE.md ファイルを対象に、ゼロ幅ユニコード文字が含まれていないかスキャンします。以下のコマンドで検出できます。
grep -P '[\x{200B}-\x{200F}\x{2028}-\x{202F}\x{FEFF}]' .cursorrules CLAUDE.md不審なファイルは速やかに削除し、念のためバイナリエディタなどで内容を確認してください 。
cronジョブ (crontab -l~/.config/systemd/user/)、macOSのLaunchAgents (~/Library/LaunchAgents/) といった、システムへの定着に使われる仕組みに、不審な登録がないか調べてください 。
今後の予防策として、CIパイプラインにサプライチェーンセキュリティスキャンツールを統合し、怪しいパッケージをインストール前に検出できるようにしましょう。また、ウォレットファイルやSSHキー、クラウド認証情報、ブラウザのデータディレクトリへの不審なアクセスを監視するランタイム検知の導入も検討してください 。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
TrapDoorは、npm、PyPI、Crates.ioの3大レジストリに34の悪質なパッケージを拡散し、開発者の暗号資産ウォレット、SSHキー、AWS認証情報、GitHubトークンなどを狙う組織的なサプライチェーン攻撃である。
TrapDoorは、npm、PyPI、Crates.ioの3大レジストリに34の悪質なパッケージを拡散し、開発者の暗号資産ウォレット、SSHキー、AWS認証情報、GitHubトークンなどを狙う組織的なサプライチェーン攻撃である。 この攻撃は特に暗号資産、DeFi、AI分野の開発者を標的としており、CursorやClaude CodeなどのAIコーディングツールの設定ファイルに、人間には見えない「ゼロ幅文字」で悪意ある命令を埋め込むという独自の手口が確認されている。
影響を受けた開発者は、流出したすべての認証情報のローテーション、ロックファイルの精査、シェル起動ファイルやGitフックの点検、GitHub Actionsワークフローの確認など、8つの緊急対策を直ちに実行する必要がある。