當你的 AI 助理淪為駭客幫兇：TrapDoor 惡意套件如何攻陷三大開源平台的真相

不只是偷程式碼：TrapDoor 的跨平台攻擊策略

TrapDoor 的攻擊並非單點突破，而是針對不同平台的特性設計了專屬的滲透機制，同時出擊 。

npm：21 個惡意套件，安裝即中鏢

在 JavaScript 生態系中，攻擊者大量使用了 postinstall 勾子（hook）。只要開發者一個不留神安裝了套件，一個名為 trap-core.js、長達約 1,149 行的竊密程式就會自動執行，系統性地掃蕩電腦中的機密檔案並將其外傳 。

PyPI：7 個惡意套件，導入即觸發

Python 套件則採用更隱蔽的手段，它們會在 import 時從遠端伺服器擷取並執行惡意的 JavaScript 酬載，一旦程式開始運行，隨即展開竊密作業 。

Crates.io：6 個惡意套件，建構就出事

就連以安全著稱的 Rust 生態系也淪陷了。這些惡意套件濫用 build.rs 腳本，在開發者編譯專案的過程中暗中執行竊密程式碼，甚至在程式的主要功能被使用之前，災難就已經發生了 。

這些套件的名稱都經過精心設計，像 token-usage-tracker、prompt-engineering-toolkit 或 eth-wallet-security-auditor 等，對目標社群來說看起來就像是實用的錢包審計、交易監控或 AI 工具 。

駭客最想從你這偷走什麼？

TrapDoor 的竊取清單包山包海，全都是開發者的命脈。根據 Socket 的分析，這隻惡意軟體會獵取錢包檔案、SSH 私鑰、GitHub 個人存取權杖、AWS 雲端憑證、環境變數中的 API 金鑰，以及儲存在瀏覽器裡的機密資訊 。

在加密貨幣方面，它特別鎖定了 MetaMask 和 Phantom 這類熱門的瀏覽器擴充錢包 。而 GitHub 權杖的失竊尤其危險，因為攻擊者能藉此存取私有程式碼儲存庫、在 CI/CD 流程中注入惡意程式碼，甚至橫向感染其他開發者的身份 。

攻擊者深知，這些領域的開發者手上通常握有大量資產的錢包私鑰、掌控雲端基礎設施，並具備開發工具鏈的高權限。一台開發電腦失守，就意味著巨額的財務與維運災難隨之敞開大門 。

最陰險的招式：用「隱形墨水」操控你的 AI 助理

TrapDoor 最令人吃驚的技術創舉，是它開創了一種「策反」AI 編碼助理的攻擊路徑。

當惡意套件成功潛入開發環境後，它會試圖修改或植入 .cursorrules 與 CLAUDE.md 這類設定檔。這些檔案是開發者用來為 Cursor、Claude Code 等 AI 工具提供專案特定指引的「操作手冊」。

攻擊者在這些檔案中嵌入了使用「零寬度 Unicode 字元」（例如 U+200B、U+200C、U+FEFF）編寫的隱形指令。這些字元在文字編輯器裡完全看不到，也無法在一般的程式碼審查中被察覺，因此開發者根本不會發現任何異狀 。然而，AI 助理卻能解析完整的 Unicode 文字，並可能將這些隱藏的惡意指令解讀為合法的命令。

這就形成了一種「雙重打擊」的攻擊鏈：套件先直接感染環境並竊取現有的憑證，而被植入後門的 AI 設定檔，則進一步將開發者信賴的 AI 工具變成攻擊者的幫兇，可能在不知不覺中執行竊取憑證、外洩原始碼，甚至是任意系統指令 。相關研究早已證實，包括 Claude Code 和 GitHub Copilot 在內的 AI 代理平台，確實會執行那些藏在技能檔案中的隱形 Unicode 指令 。

安全團隊的極速反應：5 分 27 秒的生死時速

面對這場精心策劃的攻擊，Socket 的安全監測系統表現相當出色。數據顯示，他們對 TrapDoor 惡意版本的偵測中位數時間僅為 5 分 27 秒，最快的紀錄甚至只有 58 秒 。

正是這種極速的偵測能力，讓研究人員能在發現第一個可疑上傳的 48 小時內，迅速拼湊出整個攻擊的全貌，確認這是一場大規模的協作式行動 。

目前，散佈於三大平台的 34 個惡意套件都已通報給各平台的管理員進行下架處理 。

給開發者的緊急自救手冊

如果你或你的團隊曾安裝過來路不明的開發工具，請立刻採取以下行動：

1. 立刻輪換所有外洩的憑證

立刻生成新的加密貨幣錢包助記詞，並將資金轉移到新錢包。同時，輪換 AWS IAM 金鑰、GitHub 個人存取權杖、SSH 金鑰對，以及儲存在環境變數中的所有 API 權杖，並撤銷 CI/CD 整合的 OAuth 權杖 。

2. 徹底清查套件鎖定檔

執行

npm audit

pip list

3. 檢查 Shell 啟動腳本

檢查 ~/.bashrc、~/.zshrc、~/.profile 以及 ~/.config/fish/config.fish，看看是否有可疑的別名（alias）或未經註解的 curl、wget 指令，這些都可能是駭客留下的後門 。

4. 檢查 Git Hooks

檢查每個儲存庫中的 .git/hooks/ 目錄，看看是否有未經授權的 pre-commit、post-commit 或 pre-push 勾子。由於這場攻擊鎖定 GitHub 權杖，帳號層級的儲存庫被入侵的風險極高 。

5. 審查 GitHub Actions 工作流程

檢查 .github/workflows/ 中是否有可疑的工作流程檔案、不尋常的 curl 或 wget 步驟，以及未經授權的第三方 Action。同時也要查閱 Actions 的執行紀錄，確認有無異常的外部網路請求。

6. 掃描 AI 設定檔是否被動手腳

搜尋所有專案中的 .cursorrules 和 CLAUDE.md 檔案，檢查是否含有零寬度 Unicode 字元。你可以使用以下指令來偵測隱形字元：

移除任何可疑的檔案，並透過十六進位編輯器進行二次確認 。

7. 檢查持久化機制

檢查排程工作（

crontab -l

8. 強化供應鏈防禦

將供應鏈安全掃描工具整合進你的 CI 流程中，以便在安裝前就能攔截可疑套件。建議採用運行時偵測工具，監控任何對錢包檔案、SSH 金鑰、雲端憑證或瀏覽器資料目錄的異常存取行為 。