TrapDoor供应链攻击波及 npm、PyPI 和 Crates.io,涉及34个恶意软件包
据慢雾称,跨注册表的 TrapDoor 行动针对加密货币、去中心化金融(DeFi)、Solana、Sui/Move 和 AI 开发者,促使相关方面紧急移除软件包、轮换凭证,并基于干净镜像重建系统。
SOL
SUI
摘要
慢雾表示,TrapDoor供应链攻击通过逾34个恶意软件包和384个版本横跨npm、PyPI和Crates.io。该行动通过入侵开发环境中使用的软件依赖,针对加密货币、去中心化金融(DeFi)、Solana、Sui/Move和AI领域的开发者。慢雾敦促受影响团队立即移除恶意软件包、轮换凭证,并基于干净镜像重建受影响系统,强调了凭证被盗及更广泛环境遭入侵的风险。
术语与概念
- 供应链攻击: 一种通过破坏软件依赖或分发渠道来触达下游用户和系统的网络攻击。
- 去中心化金融(DeFi): 去中心化金融(DeFi)的简称,指一类无需传统中介即可运行的、基于区块链的金融服务。
- Sui/Move: Sui是一个区块链平台,使用Move编程语言开发智能合约和数字资产应用。