C
Security

TrapDoor: Wenn Supply-Chain-Attacken KI-Assistenten missbrauchen

Die TrapDoor-Kampagne greift npm, PyPI und Crates.io an. Das Neue: Sie manipuliert KI-Tools wie Cursor oder Claude, um Entwickler-Geheimnisse zu stehlen – ein Paradigmenwechsel.

CR
Codekiste Redaktion25. Mai 2026
#KI#Security#Malware#npm#Supply Chain#PyPI

Die Evolution der Supply-Chain-Angriffe

Seit dem 22. Mai 2026 treibt ein Akteur unter dem Kodenamen TrapDoor ein groß angelegtes, ökosystemübergreifendes Unwesen. Wie Sicherheitsforscher von Socket berichten, wurden über 34 malicious Packages in mehr als 384 Versionen auf npm, PyPI und Crates.io veröffentlicht. Doch das ist nur die Spitze des Eisbergs.

Was TrapDoor von klassischen Typosquatting-Kampagnen unterscheidet, ist die chirurgische Präzision und die Einbeziehung moderner Entwicklungswerkzeuge: Die Attacke zielt gezielt auf Entwickler in den Bereichen Krypto, DeFi, Solana und KI ab und nutzt erstmals im großen Stil KI-Assistenten als Angriffsvektor.

Ökosystemübergreifende Schadsoftware

TrapDoor ist kein Einheitsbrei. Die Angreifer haben die Ausführungsmechanismen perfekt an die jeweiligen Package-Manager angepasst:

  • npm: Hier greift ein zentraler Payload namens trap-core.js. Dieser wird über postinstall-Hooks gestartet, sucht nach Credentials, validiert gestohlene AWS- und GitHub-Tokens via API-Calls und versucht, sich über SSH lateral im Netzwerk zu bewegen. Für Persistenz sorgt der Trojaner durch Einträge in systemd, cron, Git Hooks und Shell Hooks.
  • Rust / Crates.io: Die böswilligen Crates nutzen build.rs-Skripte, um zur Compile-Zeit Code auszuführen. Lokale Keystores werden ausgelesen, per XOR-Key verschlüsselt und über GitHub Gists exfiltriert.
  • Python / PyPI: Die Python-Packages führen ihren Code direkt beim Import aus. Sie laden dynamisch JavaScript von einer attacker-kontrollierten GitHub-Pages-Domain (ddjidd564.github[.]io) und führen es via node -e aus. Ein tückischer Ansatz: So können die Angreifer das Verhalten der Malware jederzeit serverseitig ändern, ohne eine neue Package-Version auf PyPI publishen zu müssen.

Der KI-Twist: Wenn der Copilot zum Komplizen wird

Der vielleicht alarmierendste Aspekt von TrapDoor ist die Manipulation von KI-Coding-Assistenten. Die Angreifer pflanzten versteckte Anweisungen in Konfigurationsdateien wie .cursorrules und CLAUDE.md ein. Diese Dateien werden von KI-Tools wie Cursor oder Claude automatisch als Kontext für den aktuellen Workspace eingelesen.

Die versteckten Prompts instruieren die KI, einen „Security Scan“ durchzuführen. Was der KI-Assistent dabei tut, ist das Suchen und Exfiltrieren von Geheimnissen aus dem lokalen System. Noch raffinierter: Die Angreifer reichten Pull Requests in beliebte Open-Source-KI-Projekte wie browser-use/browser-use, langchain-ai/langchain und langflow-ai/langflow ein, um diese manipulierten Dateien in den Upstream-Code einzuschleusen.

Dies markiert einen Paradigmenwechsel. Bisher war der Entwickler das Ziel; nun wird der Entwickler-Workflow selbst – und speziell die KI, die diesen Workflow unterstützt – zur Schwachstelle. Wir vertrauen darauf, dass unsere KI-Assistenten Code vorschlagen, aber wir müssen uns bewusst werden, dass diese Assistenten auch Anweisungen aus dem lokalen Kontext befolgen, die möglicherweise von Angreifern platziert wurden.

Kritische Einordnung

TrapDoor zeigt, dass die Zeiten, in denen simple Typosquatting-Attacken ausreichten, vorbei sind. Die Package-Namen (wie solidity-deploy-guard, llm-context-compressor oder defi-risk-scanner) sind sorgfältig gewählt, um in den Zielgruppen als nützliche Utility durchzugehen. Die Kombination aus traditionellen Persistenz-Mechanismen (cron, systemd) und Prompt-Injection in Entwickler-Tools ist hochgradig innovativ.

Besonders die PR-Injektionen in bekannte KI-Repositories offenbaren eine neue Dimension des Supply-Chain-Risikos. Es reicht nicht mehr, nur Dependencies zu prüfen. Entwickler und Security-Teams müssen künftig auch die Kontextdateien ihrer KI-Tools (CLAUDE.md, .cursorrules) als potenzielle Angriffsfläche begreifen.

Betroffene Packages

Folgende Packages wurden identifiziert (Stand der Meldung). Entwickler sollten ihre Dependencies umgehend prüfen:

  • Crates.io: move-analyzer-build, move-compiler-tools, move-project-builder, sui-framework-helpers, sui-move-build-helper, sui-sdk-build-utils
  • npm: async-pipeline-builder, build-scripts-utils, chain-key-validator, crypto-credential-scanner, defi-env-auditor, defi-threat-scanner, deployment-key-auditor, dev-env-bootstrapper, eth-wallet-sentinel, llm-context-compressor, mnemonic-safety-check, model-switch-router, node-setup-helpers, project-init-tools, prompt-engineering-toolkit, solidity-deploy-guard, token-usage-tracker, wallet-backup-verifier, wallet-security-checker, web3-secrets-detector, workspace-config-loader
  • PyPI: cryptowallet-safety, data-pipeline-check, defi-risk-scanner, env-loader-cli, eth-security-auditor, git-config-sync, solidity-build-guard

Hinweis: Diese Kampagne hat nichts mit der kürzlich von HUMAN's Satori Threat Intelligence beschriebenen Android-Ad-Fraud-Kampagne desselben Namens zu tun.

Fazit

TrapDoor ist ein Weckruf. Die Angriffsfläche verschiebt sich von reinen Code-Abhängigkeiten hin zu den Werkzeugen und Kontexten, die Entwickler täglich nutzen. Wer KI-Assistenten einsetzt, muss lernen, dass nicht jeder Code-Vorschlag oder automatisierte Scan im Interesse des Nutzers handelt. Vertrauen ist gut, Kontrolle – insbesondere über die Prompt-Kontexte der eigenen KI-Tools – ist besser.

Quelle: The Hacker News

QUELLEN
The Hacker News
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

ChatGPhish: Wenn ChatGPT selbst zur Phishing-Falle wird

Security

KI als Hacker: LLM-Agent nutzt Marimo-Lücke für Daten-Exfiltration

Security

KI als Tatwaffe: Wie GREYVIBE die Ukraine attackiert