Auf den Punkt: TrapDoor-Kampagne verbreitet credential-stehlende Malware über npm, PyPI und Crates.io. Über 34 malware-infizierte Pakete in 384 Versionen identifiziert. Ziele: Entwickler in Crypto-, DeFi-, Solana- und KI-Bereichen. Malware stiehlt Geheimnisse, Wallets, SSH-Schlüssel und Cloud-Credentials.
Eine groß angelegte Cyberangriffskampagne namens TrapDoor hat mehrere Paketmanager-Plattformen infiltriert und verteilt Malware zur Diebstahl von Zugangsdaten. Die Attacke umfasst über 34 bösartige Pakete in mehr als 384 Versionen und zielt auf Entwickler in Krypto-, DeFi-, Solana- und KI-Gemeinschaften ab.
Eine koordinierte Supply-Chain-Attacke mit dem Codenamen TrapDoor hat die Paketmanager-Ökosysteme npm, PyPI und Crates.io heimgesucht. Die Kampagne umfasst über 34 bösartige Pakete, die in mehr als 384 verschiedenen Versionen verteilt wurden.
Die erste dokumentierte Aktivität ereignete sich am 22. Mai 2026 um 20:20 Uhr UTC, als frische Pakete wellenartig über alle Ökosysteme hinweg von einer Gruppe von Accounts in schneller Folge veröffentlicht wurden.
Laut der Sicherheitsplattform Socket zielt TrapDoor speziell auf Entwickler in den Bereichen Kryptowährungen, dezentralisierte Finanzen (DeFi), Solana und künstliche Intelligenz ab. Die schädlichen Pakete wurden konzipiert, um sensible Entwickler-Geheimnisse zu stehlen, darunter:
– Kryptowährungs-Wallets
– SSH-Schlüssel
– Cloud-Anmeldedaten
– Browser-Informationen
– Umgebungsvariablen
Besonders besorgniserregend ist die gemeinsame Payload namens „trap-core“, die in mehreren npm-Paketen zum Einsatz kommt. Diese JavaScript-Komponente durchsucht Systeme nach Anmeldedaten, überprüft AWS- und GitHub-Token, versucht laterale Bewegungen via SSH und etabliert eine dauerhafte Präsenz auf befallenen Systemen.