资安公司Socket揭露TrapDoor供应链攻击：明确锁定Sui、Solana与Aptos的加密货币钱包

  根据资安公司Socket与The Block，研究员揭露一个名为「TrapDoor」的供应链攻击行动，锁定加密货币、DeFi、Solana与AI开发者，把恶意程序伪装成一般开发工具与资安扫描器。

34个以上恶意套件，横跨npm、PyPI、Crates.io

  TrapDoor涉及超过34个恶意套件、384个以上的相关版本与档案，散布于npm、PyPI与Crates.io三大套件库。最早被发现的是5月22日上传到PyPI的eth-security-auditor套件。攻击者依不同生态使用对应的执行手法：Rust用build.rs、npm用postinstall钩子、Python则在汇入时执行。

锁定Sui、Solana、Aptos钱包与SSH金钥

  这套恶意程序会大量窃取开发者资料，明确锁定Sui、Solana与Aptos的加密钱包，以及SSH金钥、浏览器设定档与AWS环境变数。加密手法上，Crates.io的套件使用硬编码金钥的XOR加密，npm版本则用上更复杂的Fernet与ECDH加密。

用零宽字元在CLAUDE.md、.cursorrules植入隐藏指令

  最值得警惕的是针对AI工具的手法：TrapDoor会用「零宽字元」(zero-width Unicode)在.cursorrules与CLAUDE.md等档案中植入肉眼看不见的隐藏指令。这些档案常被用来给Cursor、Claude Code等AI编程助手项目层级的指引，等于把AI助手也纳入攻击面。对开发者而言，安装任何来路不明的套件、或沿用他人的AI设定档前，都应提高警觉。