Der TrapDoor Supply-Chain-Angriff über npm, PyPI und Crates.io stiehlt Krypto-Wallet-Schlüssel und vergiftet KI-Coding-Assistenten mit versteckten Unicode-Anweisungen.
Marcus Webb
DeFi-Forschungsleiter
Eine koordinierte Supply-Chain-Kampagne namens TrapDoor hat 34 Pakete über npm, PyPI und Crates.io kompromittiert und zielt speziell auf Krypto-Entwickler ab. Die Malware stiehlt Wallet-Private-Keys, SSH-Zugangsdaten und AWS-Token, und sie führt einen neuen Angriffsvektor ein, indem sie KI-Coding-Assistenten mit unsichtbaren Unicode-Zeichen vergiftet.
Am 24. Mai 2026 veröffentlichten Sicherheitsexperten bei Socket Details zu einer koordinierten Supply-Chain-Kampagne, die sich über drei große Paket-Registries erstreckt. Das früheste bösartige Paket war zwei Tage zuvor, am 22. Mai, erschienen. Unter dem Namen TrapDoor verteilte die Kampagne 34 bösartige Pakete in mehr als 384 Versionen, die alle darauf ausgerichtet waren, Zugangsdaten von Krypto-, DeFi- und KI-Entwicklern zu sammeln.
Dies ist nicht der erste Supply-Chain-Angriff, der Krypto ins Visier nimmt. Der event-stream-Vorfall von 2018 kompromittierte Copay-Bitcoin-Wallets, und die ua-parser-js-Übernahme 2021 setzte Cryptominer auf Millionen von Geräten ein. TrapDoor stellt jedoch eine Weiterentwicklung dar: Es ist die erste größere, plattformübergreifende Kampagne, die KI-Coding-Assistenten als Angriffsvektor missbraucht.
Der Angriff nutzt ökosystem-spezifische Ausführungspfade, die während gewöhnlicher Entwickler-Workflows ausgelöst werden.
npm-Pakete verwenden postinstall-Hooks, die automatisch während npm install ausgeführt werden. Die gemeinsame Nutzlast, eine 1.149-zeilige Datei namens trap-core.js, durchsucht das lokale Dateisystem nach SSH-Schlüsseln, AWS-Zugangsdaten, GitHub-Tokens, Browserdaten und Wallet-Extension-Daten von MetaMask, Phantom und anderen Wallets. Anders als typische Credential-Stealer validiert TrapDoor die gesammelten Zugangsdaten gegen Live-APIs, bevor sie exfiltriert werden, wodurch das Signal-Rausch-Verhältnis für den Angreifer verbessert wird.
PyPI-Pakete führen bei Import aus und laden eine JavaScript-Nutzlast von einer GitHub Pages-Domain, die vom Angreifer kontrolliert wird. Diese sprachübergreifende Technik erlaubt es dem Angreifer, die Nutzlast remote zu aktualisieren, ohne das Python-Paket neu zu veröffentlichen.
Crates.io-Pakete binden bösartige build.rs-Skripte ein, die während cargo build ausgelöst werden und gezielt Sui- und Move-Entwickler-Keystores angreifen. Gestohlene Daten werden mit einem festcodierten XOR-Schlüssel verschlüsselt und an GitHub Gists exfiltriert.
Wenn Sie eines der unten aufgeführten Pakete installiert haben, rotieren Sie sofort alle Zugangsdaten und transferieren Sie Krypto-Gelder in eine neue Wallet. Kompromittierte Schlüssel können noch lange nach der Entfernung des bösartigen Pakets ausgenutzt werden.
Die Pakete geben sich als legitime Entwickler-Utilities aus. Namen wie solidity-deploy-guard, defi-threat-scanner und wallet-security-checker sind bewusst so gewählt, dass sie sicherheitsbewusste Krypto-Entwickler ansprechen.
npm (21 Pakete): async-pipeline-builder, build-scripts-utils, chain-key-validator, crypto-credential-scanner, defi-env-auditor, defi-threat-scanner, deployment-key-auditor, dev-env-bootstrapper, eth-wallet-sentinel, llm-context-compressor, mnemonic-safety-check, model-switch-router, node-setup-helpers, project-init-tools, prompt-engineering-toolkit, solidity-deploy-guard, token-usage-tracker, wallet-backup-verifier, wallet-security-checker, web3-secrets-detector, workspace-config-loader
PyPI (7 Pakete): cryptowallet-safety, data-pipeline-check, defi-risk-scanner, env-loader-cli, eth-security-auditor, git-config-sync, solidity-build-guard
Crates.io (6 Pakete): move-analyzer-build, move-compiler-tools, move-project-builder, sui-framework-helpers, sui-move-build-helper, sui-sdk-build-utils
Was TrapDoor beispiellos macht, ist das gezielte Angreifen von KI-Coding-Assistenten. Die Malware legt .cursorrules- und CLAUDE.md-Dateien in Projektverzeichnissen ab - Standardkonfigurationsdateien, die Tools wie Claude Code und Cursor als Projektkontext lesen.
Versteckt in diesen Dateien befinden sich Anweisungen, kodiert mit Zero-Width-Unicode-Zeichen (U+200B, U+200C, U+200D, U+FEFF). Diese Zeichen sind in Texteditoren, IDEs und sogar in GitHubs Code-Review-Oberfläche unsichtbar. Ein Entwickler, der die Datei überprüft, sieht nur normale Projektdokumentation.
Die versteckten Anweisungen fordern den KI-Assistenten dazu auf, einen "verpflichtenden Sicherheitsscan" durchzuführen, wann immer der Entwickler um Coding-Hilfe bittet. Dieser "Scan" ist in Wirklichkeit eine Pipeline zur Extraktion von Zugangsdaten, die Umgebungsvariablen, SSH-Schlüssel und Wallet-Daten an die Infrastruktur des Angreifers sendet.
Die Angreifer reichten außerdem Pull Requests bei großen Open-Source-KI-Projekten ein, darunter browser-use/browser-use, langchain-ai/langchain, langflow-ai/langflow, run-llama/llama_index, FoundationAgents/MetaGPT und OpenHands/OpenHands. Jeder PR hatte harmlose Titel wie "docs: add .cursorrules with dev standards", während er den Kampagnenmarker P-2024-001 einbettete. Wenn diese PRs gemerged worden wären, hätte jeder Entwickler, der diese Repositories mit einem KI-Coding-Tool öffnet, ein Ziel werden können.
Das ist ein Paradigmenwechsel. Frühere Supply-Chain-Angriffe zielten auf die Codeausführungs-Pipeline. TrapDoor richtet sich an die Mensch-KI-Interaktionsebene, eine Angriffsfläche, die traditionelle Abhängigkeits-Scanner nicht erkennen können.
Über den anfänglichen Diebstahl von Zugangsdaten hinaus etabliert TrapDoor sieben Persistenzmechanismen auf kompromittierten Rechnern:
.cursorrules- und CLAUDE.md-Dateien.bashrc, .zshrc)authorized_keysDie laterale Bewegung ist besonders besorgniserregend. Eine einzige kompromittierte Entwickler-Maschine kann über wiederverwendete SSH-Schlüssel auf CI/CD-Infrastruktur, Deployment-Server und Arbeitsstationen von Kollegen übergreifen.
Die Auswirkungen auf die DeFi-Protokoll-Sicherheit gehen weit über einzelne Entwickler hinaus. Eine kompromittierte Entwickler-Maschine gewährt Zugang zu Deployer-Private-Keys, Admin-Multisig-Keys, CI/CD-Pipeline-Geheimnissen, Bridge-Validator-Keys und Oracle-Signierschlüsseln.
Jüngste Vorfälle bestätigen dieses Bedrohungsmodell. Der Resolv-Exploit im März 2026 (23 Millionen Dollar Verlust) resultierte aus einem Ausfall der Off-Chain-Infrastruktur, nicht aus Smart-Contract-Fehlern. Der Drift-Zwischenfall im April 2026 (285 Millionen Dollar) kombinierte Social Engineering mit legitimen Admin-Zugängen. Diese Angriffe begannen außerhalb der Blockchain, genau dort, wo TrapDoor operiert.
Sicherheitsexperten schätzen, dass ein TrapDoor-ähnlicher Kompromiss, der bis zu Deployer-Keys eines mittelgroßen bis großen DeFi-Protokolls reicht, Verluste zwischen 100 Millionen und 300 Millionen Dollar verursachen könnte.
Socket entdeckte TrapDoor mit einer medianen Erkennungszeit von 5 Minuten und 27 Sekunden, die schnellste Erkennung erfolgte bereits 58 Sekunden nach Veröffentlichung. Der Angreifer operierte vom GitHub-Account ddjidd564 und npm-Account asdxzxc, und nutzte eine GitHub Pages-Domain zur Bereitstellung der Nutzlast.
Standardtools wie npm audit, pip audit und cargo audit können den KI-Vergiftungsvektor nicht erkennen. Die bösartigen "Anweisungen" sind natürliche Sprache, versteckt in Unicode, und kein ausführbarer Code im herkömmlichen Sinne.
Überprüfen Sie Abhängigkeiten. Suchen Sie in Ihrer package.json, requirements.txt und Cargo.toml nach einem der 34 aufgelisteten Pakete.
Rotieren Sie alle Zugangsdaten von potenziell betroffenen Maschinen: SSH-Schlüssel, AWS-Zugangsschlüssel, GitHub-Tokens und Wallet-Private-Keys. Transferieren Sie Krypto-Gelder sofort in eine frische Wallet, wenn Schlüssel auf der Maschine gespeichert waren.
Prüfen Sie auf Persistenz. Untersuchen Sie .cursorrules- und CLAUDE.md-Dateien auf Zero-Width-Unicode-Zeichen mit cat -v oder einem Hex-Editor. Überprüfen Sie Git-Hooks in .git/hooks/, Cron-Jobs, systemd-Services und Shell-Profile auf verdächtige Einträge.
Deaktivieren Sie die automatische Skriptausführung in CI/CD: verwenden Sie npm ci --ignore-scripts und pip install --no-build-isolation.
Setzen Sie Dependencyscanner ein, die Verhaltensanalyse durchführen, nicht nur CVE-Abgleich. Versionieren Sie .cursorrules- und CLAUDE.md-Dateien, sodass Änderungen in Diffs sichtbar werden. Fügen Sie Pre-Commit-Hooks hinzu, die auf Zero-Width-Unicode-Zeichen in Konfigurationsdateien prüfen. Verwenden Sie Hardware-Wallets für alle Deployment-Keys und erzwingen Sie Multisig für Admin-Funktionen.
TrapDoor markiert einen Wendepunkt in der Supply-Chain-Sicherheit. Der event-stream-Angriff zielte auf ein Paket in einem Ökosystem. TrapDoor koordiniert sich gleichzeitig über drei Ökosysteme, validiert Zugangsdaten vor der Exfiltration, etabliert mehrere Persistenzmechanismen, bewegt sich lateral durch Netzwerke und vergiftet KI-Coding-Assistenten - Tools, die zunehmend Standard im Workflow jedes Entwicklers werden.
Je tiefer KI-Assistenten in Entwicklungsprozesse integriert werden, desto größer wird die dadurch entstehende Angriffsfläche. Der Trick mit den unsichtbaren Unicode-Zeichen funktioniert, weil KI-Tools den gesamten Textinhalt von Konfigurationsdateien verarbeiten. Solange KI-Assistant-Frameworks keine Inhaltsbereinigung für versteckte Zeichen implementieren, bleibt dieser Vektor offen.
Für Krypto-Entwickler ist die Botschaft klar: Ihre Entwicklungsumgebung ist jetzt eine primäre Angriffsfläche. Behandeln Sie die Sicherheit von Entwickler-Maschinen mit derselben Sorgfalt wie Smart-Contract-Audits.
Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken und stellt keine Finanzberatung dar. Investitionen in Kryptowährungen bergen erhebliche Risiken. Führen Sie immer Ihre eigene Recherche durch und konsultieren Sie einen qualifizierten Finanzberater, bevor Sie Anlageentscheidungen treffen.
Marktanalysen und umsetzbare Erkenntnisse. Kein Spam, niemals.