TrapDoor: npm / PyPI / Crates.io 横断の供給網攻撃が拡大
Socket が TrapDoor と呼ぶクロスエコシステム型の暗号資産窃取キャンペーンを検出。npm、PyPI、Crates.io にまたがる 34+ 悪性パッケージ / 384+ バージョンが報告され、開発者のウォレットや認証情報を狙う供給網攻撃として警戒されている。
キーポイント
- 対象は npm / PyPI / Crates.io の複数レジストリ
- Socket は 34+ malicious packages / 384+ versions and artifacts と報告
- install 時スクリプト、typosquatting、資格情報窃取が主なリスク
- Feross も同キャンペーンを active supply chain attack として注意喚起