Serangan rantai pasokan TrapDoor di npm, PyPI, dan Crates.io mencuri kunci dompet crypto dan meracuni asisten pengkodean AI dengan instruksi Unicode tersembunyi.
Marcus Webb
DeFi Research Lead
Sebuah serangan rantai pasokan terkoordinasi bernama TrapDoor telah mengompromikan 34 paket di npm, PyPI, dan Crates.io, dengan target khusus pengembang crypto. Malware ini mencuri kunci privat dompet, kredensial SSH, dan token AWS, serta memperkenalkan vektor serangan baru yang meracuni asisten pengkodean AI melalui karakter Unicode yang tidak terlihat.
Pada 24 Mei 2026, peneliti keamanan di Socket mengungkapkan kampanye rantai pasokan terkoordinasi yang melintasi tiga registri paket besar. Paket berbahaya pertama muncul dua hari sebelumnya, pada 22 Mei. Dijuluki TrapDoor, serangan ini mendistribusikan 34 paket berbahaya dalam lebih dari 384 versi, semuanya dirancang untuk mengumpulkan kredensial dari pengembang crypto, DeFi, dan AI.
Ini bukan serangan rantai pasokan pertama yang menargetkan crypto. Insiden event-stream pada 2018 mengompromikan dompet Copay Bitcoin, dan pembajakan ua-parser-js pada 2021 memasang cryptominer di jutaan mesin. Tapi TrapDoor mewakili evolusi, ini adalah kampanye lintas-ekosistem besar pertama yang menggunakan asisten pengkodean AI sebagai vektor serangan.
Serangan ini menggunakan jalur eksekusi spesifik-ekosistem yang aktif selama alur kerja pengembang rutin.
npm packages menggunakan hook postinstall yang dieksekusi otomatis saat npm install. Payload bersama, sebuah berkas 1.149 baris bernama trap-core.js, memindai sistem file lokal untuk kunci SSH, kredensial AWS, token GitHub, data browser, dan data ekstensi dompet crypto dari MetaMask, Phantom, dan dompet lainnya. Berbeda dari pencuri kredensial biasa, TrapDoor memvalidasi kredensial yang dikumpulkan terhadap API hidup sebelum mengekfiltrasikannya, meningkatkan rasio sinyal terhadap noise penyerang.
PyPI packages dieksekusi saat diimpor, mengunduh payload JavaScript dari domain GitHub Pages yang dikendalikan penyerang. Teknik lintas-bahasa ini memungkinkan penyerang memperbarui payload dari jarak jauh tanpa memublikasikan ulang paket Python.
Crates.io packages menyematkan skrip build.rs berbahaya yang aktif saat cargo build, menargetkan keystore pengembang Sui dan Move secara spesifik. Data yang dicuri dienkripsi dengan kunci XOR yang hardcoded dan diekfiltrasi ke GitHub Gists.
Jika Anda memasang paket apa pun dari daftar di bawah, putar semua kredensial segera dan pindahkan dana crypto ke dompet baru. Kunci yang dikompromikan dapat dieksploitasi lama setelah paket berbahaya dihapus.
Paket-paket ini menyamar sebagai utilitas pengembang yang sah. Nama seperti solidity-deploy-guard, defi-threat-scanner, dan wallet-security-checker dirancang untuk menarik pengembang crypto yang peduli tentang keamanan.
npm (21 packages): async-pipeline-builder, build-scripts-utils, chain-key-validator, crypto-credential-scanner, defi-env-auditor, defi-threat-scanner, deployment-key-auditor, dev-env-bootstrapper, eth-wallet-sentinel, llm-context-compressor, mnemonic-safety-check, model-switch-router, node-setup-helpers, project-init-tools, prompt-engineering-toolkit, solidity-deploy-guard, token-usage-tracker, wallet-backup-verifier, wallet-security-checker, web3-secrets-detector, workspace-config-loader
PyPI (7 packages): cryptowallet-safety, data-pipeline-check, defi-risk-scanner, env-loader-cli, eth-security-auditor, git-config-sync, solidity-build-guard
Crates.io (6 packages): move-analyzer-build, move-compiler-tools, move-project-builder, sui-framework-helpers, sui-move-build-helper, sui-sdk-build-utils
Yang membuat TrapDoor belum pernah terjadi sebelumnya adalah penargetannya terhadap asisten pengkodean AI. Malware ini menanamkan berkas .cursorrules dan CLAUDE.md di direktori proyek - berkas konfigurasi standar yang dibaca alat seperti Claude Code dan Cursor sebagai konteks proyek.
Tersembunyi di dalam berkas-berkas ini ada instruksi yang dikodekan menggunakan karakter Unicode tanpa lebar, U+200B, U+200C, U+200D, U+FEFF. Karakter-karakter ini tidak terlihat di editor teks, IDE, dan bahkan antarmuka review kode GitHub. Seorang pengembang yang meninjau berkas hanya akan melihat dokumentasi proyek yang normal.
Instruksi tersembunyi tersebut mengarahkan asisten AI untuk menjalankan "pemindaian keamanan wajib" setiap kali pengembang meminta bantuan pengkodean. "Pemindaian" ini sebenarnya adalah jalur ekstraksi kredensial yang mengirim variabel lingkungan, kunci SSH, dan data dompet ke infrastruktur penyerang.
Penyerang juga mengirim pull request ke proyek AI open-source besar termasuk browser-use/browser-use, langchain-ai/langchain, langflow-ai/langflow, run-llama/llama_index, FoundationAgents/MetaGPT, dan OpenHands/OpenHands. Setiap PR membawa judul yang tampak jinak seperti "docs: add .cursorrules with dev standards" sambil menyematkan penanda kampanye P-2024-001. Jika digabungkan, setiap pengembang yang membuka repositori ini dengan alat pengkodean AI akan menjadi target.
Ini menandai pergeseran paradigma. Serangan rantai pasokan sebelumnya menargetkan pipeline eksekusi kode. TrapDoor menargetkan lapisan interaksi manusia-AI, sebuah permukaan serangan yang tidak dapat dideteksi alat pemindai dependensi tradisional.
Di luar pencurian kredensial awal, TrapDoor membangun tujuh mekanisme persistensi di mesin yang dikompromikan:
.cursorrules dan CLAUDE.md yang diracuni.bashrc, .zshrc)authorized_keys SSHKemampuan pergerakan lateral ini sangat mengkhawatirkan. Satu mesin pengembang yang dikompromikan dapat menular ke infrastruktur CI/CD, server deployment, dan workstation rekan kerja melalui kunci SSH yang digunakan ulang.
Implikasinya bagi keamanan protokol DeFi melampaui pengembang individu. Mesin pengembang yang dikompromikan menyediakan akses ke kunci privat deployer, kunci multisig admin, rahasia pipeline CI/CD, kunci validator bridge, dan kunci penandatangan oracle.
Insiden baru-baru ini memvalidasi model ancaman ini. Eksploit Resolv pada Maret 2026 ($23 million hilang) bersumber dari kegagalan infrastruktur off-chain, bukan bug smart contract. Insiden Drift pada April 2026 ($285 million) menggabungkan rekayasa sosial dengan akses admin yang sah. Serangan-serangan ini dimulai di luar blockchain, tepat di tempat TrapDoor beroperasi.
Peneliti keamanan memperkirakan bahwa kompromi bergaya TrapDoor yang mencapai kunci deployer di protokol DeFi menengah hingga besar dapat menyebabkan kerugian $100 juta hingga $300 juta.
Socket mendeteksi TrapDoor dengan median waktu deteksi 5 menit 27 detik, dengan tangkapan tercepat hanya 58 detik setelah publikasi. Penyerang beroperasi dari akun GitHub ddjidd564 dan akun npm asdxzxc, menggunakan domain GitHub Pages untuk hosting payload.
Alat standar seperti npm audit, pip audit, dan cargo audit tidak dapat mendeteksi vektor peracunan AI. "Instruksi" berbahaya ini berupa bahasa alami yang disembunyikan dalam Unicode, bukan kode yang dapat dieksekusi dalam pengertian konvensional.
Audit dependensi. Cari package.json, requirements.txt, dan Cargo.toml Anda untuk salah satu dari 34 paket yang tercantum.
Putar semua kredensial dari mesin yang berpotensi terpengaruh: kunci SSH, kunci akses AWS, token GitHub, dan kunci privat dompet. Pindahkan dana crypto ke dompet baru segera jika kunci disimpan di mesin tersebut.
Periksa persistensi. Periksa berkas .cursorrules dan CLAUDE.md untuk karakter Unicode tanpa lebar menggunakan cat -v atau editor heksadesimal. Tinjau hook Git di .git/hooks/, pekerjaan cron, layanan systemd, dan profil shell untuk penambahan mencurigakan.
Nonaktifkan eksekusi skrip otomatis di CI/CD: gunakan npm ci --ignore-scripts dan pip install --no-build-isolation.
.cursorrules dan CLAUDE.md sehingga perubahan muncul dalam diff.TrapDoor menandai titik balik dalam keamanan rantai pasokan. Serangan event-stream menargetkan satu paket di satu ekosistem. TrapDoor berkoordinasi di tiga ekosistem secara bersamaan, memvalidasi kredensial sebelum diekfiltrasi, mendirikan banyak mekanisme persistensi, bergerak lateral melalui jaringan, dan meracuni asisten pengkodean AI - alat yang dengan cepat menjadi standar dalam alur kerja setiap pengembang.
Seiring asisten AI menjadi semakin terintegrasi dalam proses pengembangan, permukaan serangan yang mereka ciptakan hanya akan tumbuh. Trik Unicode tak terlihat ini berhasil karena alat AI memproses seluruh konten teks berkas konfigurasi. Sampai kerangka asisten AI menerapkan sanitasi konten untuk karakter tersembunyi, vektor ini tetap terbuka.
Bagi pengembang crypto, pesan ini jelas: lingkungan pengembangan Anda kini menjadi permukaan serangan utama. Perlakukan keamanan mesin pengembang dengan ketelitian yang sama seperti audit smart contract.
Penafian: Artikel ini hanya untuk tujuan informasi dan bukan merupakan nasihat keuangan. Investasi cryptocurrency membawa risiko signifikan. Lakukan riset Anda sendiri dan konsultasikan dengan penasihat keuangan yang berkualifikasi sebelum membuat keputusan investasi.
Analisis pasar dan wawasan yang dapat ditindaklanjuti. Tanpa spam, selamanya.