Socket Security 的研究人員在三個程式語言註冊中心發現了超過 34 個惡意軟體包，這些軟體包針對加密貨幣開發者環境，包括 Aptos、Sui 和 Solana 生態系。

這項名為 TrapDoor 的活動橫跨 npm、PyPI 和 Crates.io，總計有超過 384 個版本。Socket 研究人員在週日的一份聲明中表示，在 Crates.io 上發現的惡意軟體包包括 sui-framework-helpers、sui-move-build-helper 和 move-analyzer-build，此外還有多個 npm 和 PyPI 軟體包。

研究人員表示，該惡意軟體旨在從開發者電腦竊取 SSH 金鑰、錢包密鑰庫、AWS 憑證、GitHub 代幣和瀏覽器登入資料庫。這些軟體包透過生態系特定的機制執行，包括 npm 的 postinstall 鉤子、Python 的 import 觸發器和 Rust 的 build.rs 腳本。

根據 Socket Security 的說法，觀察到的最早軟體包是 PyPI 模組 [email protected]，於週五世界標準時間 20:20 上傳，兩分鐘後發布了一個編譯好的 wheel。報告指出，這些軟體包由多個帳戶迅速發布，並在註冊中心以緊密聚集的部署波次出現。

該活動中的 npm 軟體包包括 crypto-credential-scanner、defi-env-auditor 和 wallet-security-checker 等工具，而 Crates.io 軟體包則專注於 Sui 和 Move 開發工具，包括 move-project-builder 和 sui-sdk-build-utils。PyPI 軟體包則包括 eth-security-auditor 和 defi-risk-scanner，這些軟體包旨在標準開發工作流程中自動執行。

Socket 研究人員表示，這些軟體包名稱經過精心設計，旨在模仿加密貨幣、DeFi、AI 和安全工作流程中的開發工具，針對可能在開發者電腦上儲存雲端憑證、SSH 金鑰和錢包資料的環境。

該公司將此次活動描述為一種低數量但高影響的操作，儘管軟體包數量相對較少，分佈在多個註冊中心，但卻針對包含高價值驗證和金融憑證的環境。