TrapDoor supply chain campaign là một chiến dịch tin tức bảo mật nhắm vào hệ sinh thái phát triển phần mềm qua các kho gói npm, PyPI và Crates.io. Chiến dịch này đã phát tán 34 gói độc hại cùng hơn 384 phiên bản liên quan, tập trung vào việc đánh cắp thông tin xác thực của nhà phát triển và ví tiền mã hóa.
Phạm vi của lỗ hổng supply chain trong chiến dịch TrapDoor
Chiến dịch sử dụng tên gói mạo danh công cụ dành cho lập trình viên và bộ quét bảo mật để che giấu hành vi. Mục tiêu chính là các cộng đồng crypto, DeFi, Solana và AI, nơi các gói độc hại có thể được cài đặt trong quy trình phát triển thông thường.
Gói sớm nhất được ghi nhận là [email protected], được phát hành vào 22/05/2026 trên PyPI. Sau đó, chiến dịch mở rộng nhanh chóng sang các kho khác bằng những tên giả mạo như prompt-engineering-toolkit, solidity-deploy-guard và defi-threat-scanner.
Đây là một dạng lỗ hổng CVE theo nghĩa rộng của chuỗi cung ứng phần mềm, dù nội dung gốc không nêu mã CVE cụ thể. Thông tin phân tích từ Socket cho thấy thời gian phát hiện trung vị chỉ 5 phút 27 giây, giúp xác định sớm toàn bộ chiến dịch là độc hại. Tham khảo thêm tại Socket Blog về TrapDoor.
Cơ chế thực thi và ảnh hưởng hệ thống
TrapDoor sử dụng các đường dẫn thực thi riêng theo từng hệ sinh thái để tận dụng quy trình cài đặt và build chuẩn của nhà phát triển. Điều này làm tăng khả năng mã độc chạy âm thầm trước khi người dùng kiểm tra kỹ các phụ thuộc.
Payload npm chia sẻ có dung lượng lớn, với file trap-core.js dài 1.149 dòng. Mục tiêu của nó là duy trì truy cập lâu dài và mở rộng bám trụ trên hệ thống bị xâm nhập.
Các kỹ thuật duy trì hiện diện gồm:
- systemd services
- cron jobs
- Git hooks
- Shell hooks
Việc đánh cắp SSH keys cho phép thực hiện lateral movement tự động. Khi đó, một máy trạm bị xâm nhập có thể trở thành điểm trung gian để mở rộng sang các tài nguyên nội bộ khác trong mạng doanh nghiệp.
Thu thập dữ liệu và rủi ro bảo mật
TrapDoor nhắm vào nhiều loại dữ liệu có giá trị cao, bao gồm ví Sui, Solana và Aptos, SSH keys, browser profiles và AWS environment variables. Đây là dấu hiệu của một nguy cơ bảo mật liên quan trực tiếp đến chuỗi cung ứng phần mềm và dữ liệu xác thực phát triển.
Payload còn chủ động xác thực token AWS và GitHub bị đánh cắp thông qua truy vấn API trực tiếp. Cách làm này giúp lọc dữ liệu hợp lệ trước khi sử dụng hoặc chuyển tiếp ra ngoài.
Trong bối cảnh lỗ hổng zero-day và zero-day vulnerability thường được khai thác qua các bề mặt tấn công ít bị giám sát, chiến dịch này cho thấy rủi ro từ những gói tưởng như hợp lệ trong quy trình phát triển.
Tấn công vào quy trình AI và file cấu hình dự án
Điểm khác biệt của chiến dịch là việc nhắm đến AI coding assistants bằng cách sửa đổi các tệp .cursorrules và CLAUDE.md. Các tệp này được chèn nội dung độc hại để lừa hệ thống AI thực hiện hành vi thu thập thông tin xác thực dưới vỏ bọc kiểm tra an toàn dự án.
Thủ thuật sử dụng zero-width Unicode characters nhằm che giấu prompt độc hại, khiến nội dung trông bình thường khi xem bằng mắt thường. Theo mô tả gốc, AI có thể bị dẫn dụ thực hiện credential exfiltration trong một luồng làm việc tự động tưởng như hợp lệ.
Để mở rộng phạm vi, tác nhân đã dùng tài khoản GitHub ddjidd564 gửi các pull request chứa cấu hình bị đầu độc vào những dự án AI nguồn mở như LangChain, MetaGPT và OpenHands.
Hạ tầng điều khiển và tài nguyên liên quan
Chiến dịch duy trì một kiến trúc điều khiển trên GitHub Pages, nơi lưu trữ các tệp cấu hình độc hại cùng tài liệu thiết kế AUDIT-MATRIX.md. Tài liệu này mô tả một khuôn khổ có tên Universal AI Agent Extraction Framework, trong đó lớp ngụy trang được dùng để gắn việc đánh cắp dữ liệu với các workflow tự động hóa của nhà phát triển.
Đây là đặc trưng thường gặp của mối đe dọa mạng nhắm vào chuỗi cung ứng: mã độc không chỉ chạy khi cài đặt mà còn bám vào tài nguyên dự án, file cấu hình và dịch vụ nền để duy trì hoạt động.
IOC liên quan đến TrapDoor
Các IOC dưới đây được trích xuất trực tiếp từ nội dung gốc:
- Gói PyPI: [email protected]
- Gói npm: trap-core.js
- Tên giả mạo: prompt-engineering-toolkit
- Tên giả mạo: solidity-deploy-guard
- Tên giả mạo: defi-threat-scanner
- Tài khoản GitHub: ddjidd564
- Tệp cấu hình bị sửa đổi: .cursorrules
- Tệp cấu hình bị sửa đổi: CLAUDE.md
- Tài liệu điều khiển: AUDIT-MATRIX.md
- Kho lưu trữ/registry bị ảnh hưởng: npm, PyPI, Crates.io
Chỉ dấu kỹ thuật cần theo dõi
Đối với phát hiện tấn công trong môi trường phát triển, cần chú ý các dấu hiệu sau:
- Cài đặt gói mới từ các registry công khai trong quá trình build.
- Tệp cấu hình dự án xuất hiện nội dung không nhìn thấy rõ do ký tự Unicode vô hình.
- Hệ thống tạo mới systemd service hoặc cron job bất thường.
- Hoạt động truy vấn API để kiểm tra token AWS hoặc GitHub bị rò rỉ.
- Xuất hiện SSH keys ngoài luồng trong thư mục làm việc hoặc pipeline.
Giảm thiểu rủi ro bảo mật trong chuỗi cung ứng gói
Với dạng cảnh báo CVE và lỗ hổng CVE theo hướng supply chain như chiến dịch này, trọng tâm là kiểm soát phụ thuộc và xác minh nội dung gói trước khi tích hợp.
Các biện pháp cần áp dụng gồm:
- Kiểm tra tên gói và lịch sử phát hành trước khi cài đặt.
- Rà soát các file cấu hình dự án như .cursorrules và CLAUDE.md.
- Giám sát thay đổi systemd, cron, Git hooks và shell hooks.
- Hạn chế token AWS, GitHub và SSH keys trong môi trường build.
- Thực hiện kiểm tra phụ thuộc trước khi hợp nhất pull request từ nguồn bên ngoài.
Trong bối cảnh tin bảo mật mới nhất về gói độc hại tiếp tục gia tăng trên các registry phổ biến, việc giám sát chuỗi cung ứng phần mềm là một phần cốt lõi của an toàn thông tin và bảo mật mạng.
