あなたの AI アシスタントがスパイに？暗号資産開発者を狙う「TrapDoor」の巧妙な手口

TrapDoor の真に危険な点は、複数のエコシステムを跨ぐだけでなく、AIコーディングアシスタントそのものを武器にする、前例のない手法にあります。攻撃者は、プロジェクトの設定ファイルに「ゼロ幅ユニコード文字」と呼ばれる特殊な文字を使い、人間には見えない指示を埋め込みます。この指示を、Cursor や Claude Code といったAIツールが読み込んでしまい、「定例のセキュリティスキャン」と偽って、機密情報を外部に送信するよう仕向けられるのです 。

三つのレジストリを跨ぐ攻撃戦略

TrapDoor は、各レジストリの特性に合わせて巧妙に手口を変えています 。

npm（21パッケージ）

最も多くの悪質なパッケージが確認されたのは npm です。パッケージインストール時に自動実行される postinstall フックが悪用され、約1,149行にも及ぶ認証情報収集スクリプト「trap-core.js」が実行されます。このスクリプトは、開発者のマシン内をくまなくスキャンし、機密情報を探索・収集して、攻撃者の管理するサーバーへ送信します 。

PyPI（7パッケージ）

Python向けの悪質なパッケージは、プログラムにインポートされた瞬間に、遠隔地からJavaScriptのペイロードをダウンロードして実行する仕組みでした。一度動き出せば、npm版と同様のロジックで認証情報を盗み出します 。

Crates.io（6パッケージ）

Rustの主要レジストリでは、ビルドスクリプト build.rs が悪用されました。これは、パッケージの本来の機能が使われる前の「ビルド段階」で認証情報を流出させるコードが実行されることを意味します 。

これらのパッケージは、token-usage-tracker や prompt-engineering-toolkit、eth-wallet-security-auditor など、一見すると開発に役立つ正規のツールのような名前で偽装されていました 。

何が盗まれるのか

TrapDoor のペイロードは、驚くほど広範な機密情報を狙います。Socketの分析によると、その標的は多岐にわたります 。

• 暗号資産のウォレットファイルやキーストア
• SSH秘密鍵
• GitHub個人アクセストークン
• AWS認証情報
• APIキーが保存された環境変数
• ブラウザに記憶されたログイン情報

特に、MetaMask や Phantom といったブラウザ拡張ウォレットのデータも標的であることが明記されています 。GitHubトークンが盗まれた場合、プライベートなソースコードリポジトリへの不正アクセスや、CI/CDパイプラインへの悪意あるコード注入、さらには開発者アカウントを踏み台にした組織内部へのラテラルムーブメント（水平移動）に悪用される恐れがあります 。

AIの設定ファイルを毒する「目に見えない」攻撃

TrapDoor の最も技術的に斬新な点は、AIコーディングアシスタントの「信頼」を悪用する点です。マルウェアは、Cursor や Claude Code といったAIツールがプロジェクト固有の指示を読み込むために使う .cursorrules や CLAUDE.md といった設定ファイルを書き換えようとします 。

このファイルの中に、「ゼロ幅ユニコード文字」（U+200BやU+200C、U+FEFFなど）を使って、隠し指示が埋め込まれます。これらの文字はテキストエディタ上では全く表示されず、人間のコードレビューでは絶対に気づくことができません 。しかし、AIはこれらの文字も含めてテキストを解析するため、以下のような悪意ある行動を「正規の指示」として実行してしまう可能性があります。

• 認証情報を収集するワークフローを実行する
• ソースコードを攻撃者のサーバーに送信する
• 開発者の知らぬ間に、任意のシェルコマンドを実行する

これは二段構えの極めて危険な攻撃です。まずパッケージが開発環境そのものを汚染し、次にAI設定ファイルに仕込まれた毒が、開発者が信頼するAIツールをスパイに変えてしまうのです 。

迅速な検知と被害の全容

Socketの検知システムは、TrapDoor の悪質なリリースを中央値でわずか5分27秒、最速では58秒で検知しました。この驚異的な速さにより、研究者たちは一見無関係に見えた多数のパッケージ公開が、一つの組織的なキャンペーンであることを48時間以内に突き止めることができました 。

発見された3つのレジストリ全ての34個の悪質なパッケージは、各レジストリの管理者に報告され、現在は削除されています 。

開発者が今すぐ取るべき8つの対策

もし、ご自身やチームがこれらのパッケージをインストールしてしまった可能性がある場合、直ちに以下の対応を実行してください。

1. 流出した可能性のある認証情報をすべて無効化する

何よりも最優先です。暗号資産ウォレットのシードフレーズを再生成し、新しいウォレットに資金を移動させてください。AWS IAMキー、GitHubの個人アクセストークン、SSH鍵ペア、環境変数に保存されたAPIトークンも、すべて再発行します 。CI/CD連携用のOAuthトークンも必ず無効化してください。

2. パッケージロックファイルを監査する

3. シェルの起動ファイルを点検する

~/.bashrc, ~/.zshrc, ~/.profile, ~/.config/fish/config.fish などのファイルに、不審なエイリアスや、コメントアウトされていない curl や wget コマンドが無いか確認します。これらは攻撃者が持続的にアクセスするためのバックドアとなる可能性があります 。

4. Git フックを確認する

全てのリポジトリの .git/hooks/ ディレクトリを調べ、身に覚えのない pre-commit, post-commit, pre-push などのフックが無いか確認してください。GitHubトークンを狙うこの攻撃の特性上、あなたのアカウント権限でリポジトリが改ざんされているリスクがあります 。

5. GitHub Actions のワークフローを精査する

.github/workflows/ ディレクトリ内に、見慣れないワークフローファイルが追加されていないか、また、不審な curl や wget による外部送信処理、不明なサードパーティActionが組み込まれていないかを確認します。合わせてActionsの実行ログに、異常な外部へのネットワーク通信がないかもチェックしてください。

6. AI設定ファイルの改竄チェック

プロジェクト内の全ての .cursorrules と CLAUDE.md ファイルを対象に、ゼロ幅ユニコード文字が含まれていないかスキャンします。以下のコマンドで検出できます。

不審なファイルは速やかに削除し、念のためバイナリエディタなどで内容を確認してください 。

7. 持続化の仕組みが無いか調査する

cronジョブ (

crontab -l

8. サプライチェーン防御を強化する

今後の予防策として、CIパイプラインにサプライチェーンセキュリティスキャンツールを統合し、怪しいパッケージをインストール前に検出できるようにしましょう。また、ウォレットファイルやSSHキー、クラウド認証情報、ブラウザのデータディレクトリへの不審なアクセスを監視するランタイム検知の導入も検討してください 。