В раскрытии Socket от 24 мая о TrapDoor было обнаружено более 34 вредоносных пакетов и свыше 384 связанных с ними версий, распространявшихся через npm, PyPI и Crates.io; каждый из них был нацелен на разработчиков, создающих и поддерживающих протоколы, а также на учетные данные, регулирующие доступ к системам вокруг них.
TrapDoor создал маршрут от скомпрометированного компьютера одного разработчика до репозиториев, CI/CD-пайплайнов, облачных аккаунтов и ключей развертывания, которые определяют, как протоколы попадают в основную сеть и остаются обновленными после развертывания.
Шестиэтапная блок-схема показывает, как вредоносный пакет перемещается от компрометации компьютера разработчика через кражу учетных данных, подвергая риску средства пользователей.
Поверхность атаки, которую разработчики не проверяют
Кампания доставляла нагрузки через обычные рабочие процессы разработчиков, такие как npm-пакеты, выполняющие вредоносный код через постинсталляционные хуки, PyPI-пакеты, запускающие нагрузки при импорте во время загрузки удаленного JavaScript, и Rust-кейсы, запускающие скрипты build.rs во время компиляции.
Обычное поведение разработчиков является поверхностью атаки, поскольку ни один из этих путей выполнения не требует ничего, кроме установки пакета, импорта или команды сборки.
В окружении живого протокола любой из этих классов учетных данных может представлять собой путь к средствам пользователей, который никогда не проверяется при аудите смарт-контрактов.
Socket явно описал украденные SSH-ключи как обеспечивающие боковое движение, а облачные и GitHub-учетные данные — как раскрывающие репозитории, системы CI/CD, приватные пакеты и среды развертывания.
Эта цепочка, состоящая из вредоносного пакета, компрометации разработчика, кражи учетных данных, доступа к репозиторию и облаку, а также вредоносного обновления, описывает, как эксплойт DeFi может возникнуть без единой строки уязвимого Solidity.
Инъекция инструкций ИИ
Socket обнаружил, что кампания TrapDoor пыталась внедрить скрытые инструкции в файлы, такие как .cursorrules и CLAUDE.md — это конфигурационные файлы, которые помощники по программированию ИИ, такие как Cursor и Claude Code, читают, чтобы понять, как действовать в рамках проекта.
Внедренные инструкции использовали скрытые методы Unicode, чтобы направлять рабочие процессы с ИИ на тайное обнаружение и выгрузку данных.
Socket также обнаружил запросы на слияние, отправленные в проекты ИИ и инструменты для разработчиков, которые пытались ввести файлы инструкций под благозвучными названиями.
Целью были помощники ИИ, которые читают репозиторий, генерируют код и работают с любым контекстом, предоставляемым файлами проекта.
Если злоумышленники тихо манипулируют этим контекстом через скрытые инструкции Unicode, рабочий процесс с ИИ становится механизмом выгрузки данных.
Более широкая картина
SafeDep зафиксировал кампанию от 11 мая, которая скомпрометировала более 170 npm-пакетов и два PyPI-пакета, затронув 404 вредоносные версии, связанные с TanStack, Mistral SDK, UiPath, OpenSearch и Guardrails AI.
StepSecurity описала пять крупных атак на цепочки поставок за 48 часов среди расширений VS Code, GitHub Actions, npm и PyPI, включая отравленное расширение VS Code с 2,2 млн установок и троянизированные Microsoft PyPI-пакеты.
Sonatype сообщила о более чем 454 600 новых вредоносных пакетах в 2025 году, доведя общее количество до более 1,233 млн; сейчас вредоносные пакеты служат точками входа для более широких вторжений.
| Кампания / источник | Время | Затронутая экосистема | Масштаб, упомянутый | Почему это важно для данной истории |
|---|---|---|---|---|
| TrapDoor / Socket | май 2026 г. | npm, PyPI, Crates.io | 34+ вредоносных пакетов; 384+ версии/артефакты | Показывает, что крипторазработчики становятся мишенью еще до того, как код достигнет основной сети |
| Кампания SafeDep | 11 мая 2026 г. | npm, PyPI | 170+ npm-пакетов; 2 PyPI-пакета; 404 вредоносные версии | Показывает, как вредоносные пакеты распространяются через популярные зависимости разработчиков |
| Волна StepSecurity за 48 часов | май 2026 г. | VS Code, GitHub Actions, npm, PyPI | 5 крупных атак; одно расширение VS Code имело 2,2 млн установок | Показывает, как злоумышленники перемещаются через несколько уровней инструментов разработчиков |
| Данные Sonatype за 2025 год | 2025 г. | Основные экосистемы с открытым исходным кодом | 454 600+ новых вредоносных пакетов; 1,233 млн+ совокупно | Показывает, как вредоносные пакеты становятся промышленным каналом вторжений |
Схема атаки на контрольный план уже привела к ощутимым потерям в DeFi, используя структурно идентичные методы.
Мартовский инцидент Resolv был эксплойтом на 23 млн долларов, где развернутый код работал точно так, как задумано, но оффлайн-инфраструктура и доверенные ключи оказались неработоспособными.
В апреле 2026 года Drift потерял 285 млн долларов, когда злоумышленники объединили длительное социальное engineering с действительными подписями администраторов.
KelpDAO потерял примерно 292 млн долларов в том же месяце, когда злоумышленники скомпрометировали оффлайн-инфраструктуру RPC и DVN.
В каждом случае точкой отказа стала эксплуатация: доверенная инфраструктура, оффлайн-системы и уровни доступа администраторов вокруг контракта.
Где решается риск
Если пакеты типа TrapDoor быстро обнаруживаются — система Socket зафиксировала среднее время обнаружения 5 минут 56 секунд — и команды меняют уязвимые учетные данные до того, как произойдет доступ вниз по потоку, кампания заканчивается на уровне обнаружения, и ее ущерб ограничивается только теми учетными данными, которые команды все еще могут поменять.
Потери в DeFi находятся вблизи базового уровня Immunefi 2025 года в 680 млн долларов; главным эффектом TrapDoor стали ускоренные проверки безопасности зависимостей пакетов, секретов CI/CD и гигиены среды разработчиков в крипто-командах.
Медвежий сценарий основан на данных Chainalysis, TRM Labs и Immunefi, собранных в 2025 году и начале 2026 года.
TRM Labs оценил, что северокорейские хакеры украли около 577 млн долларов до апреля 2026 года, что составляет 76% всех крипто-потерь за этот период. Chainalysis оценила общий объем краж криптоуслуг в более чем 3,4 млрд долларов в 2025 году, причем три крупнейших инцидента составили 69% этой суммы.
Утечка типа TrapDoor, достигшая ключей развертывания, инфраструктуры валидаторов мостов или администраторских учетных данных на среднем или крупном протоколе, может добавить от 100 до 300 млн долларов к текущему итогу 2026 года, увеличив ежегодные потери в DeFi до 1 млрд долларов или выше.
Один зараженный компьютер разработчика с токеном GitHub, контролирующим пайплайн развертывания, облачная учетная запись, управляющая инфраструктурой мостов, или ключ кошелька, дающий административные полномочия протокола, могут получить доступ далеко за пределы средств самого разработчика.
В инциденте Drift злоумышленники списали активы, включая cbBTC и WBTC, показав, что ликвидность, связанная с биткоином и обернутая или мостовая в DeFi, находится в той же операционной инфраструктуре, на которую нацелен TrapDoor.
| Сценарий | Что происходит | Потери и их последствия | Главное из статьи |
|---|---|---|---|
| Сдержанный / бычий сценарий | Пакеты типа TrapDoor быстро обнаруживаются, уязвимые учетные данные меняются, и доступ к протоколам вниз по потоку не происходит | Потери в DeFi остаются около базового уровня Immunefi 2025 года в 680 млн долларов | Быстрое обнаружение ограничивает кампанию только проверкой гигиены учетных данных и зависимостей |
| Базовый сценарий | Кампании-клонов компрометируют меньшие команды, секреты CI/CD или облачные учетные данные, вызывая ограниченные инциденты с протоколами | Ежегодные потери в DeFi выходят за базовый уровень 2025 года, но остаются ниже 1 млрд долларов | Поверхность эксплойтов смещается вверх по потоку, но потери остаются фрагментированными |
| Медвежий сценарий | Один скомпрометированный компьютер разработчика раскрывает ключи развертывания, инфраструктуру мостов, администраторские учетные данные или доступ к репозиторию на среднем или крупном протоколе | Один инцидент добавляет от 100 до 300 млн долларов, увеличивая ежегодные потери в DeFi до или выше 1 млрд долларов | Следующий крупный эксплойт может начаться до развертывания уязвимого кода |
| Черный лебедь | Самораспространяющаяся или поддерживаемая ИИ кампания поставок компрометирует несколько сред разработчиков, пакетов или систем CI/CD | Кластерные потери приближаются к масштабу крупных крипто-краж 2025 года | Контрольный план DeFi становится поверхностью атаки |
Чего не охватывают аудиты
Индустрия DeFi за последние четыре года создала значимый слой безопасности смарт-контрактов. Данные Immunefi показывают, что средний размер инцидентов снизился с 6 млн долларов в 2022 году до 1,5 млн долларов в 2025 году, что говорит о зрелости основных защит на уровне контрактов.
Но Resolv, Drift и KelpDAO демонстрируют, что злоумышленники восприняли эти улучшения и перешли к системам, которые аудиты не могут охватить, таким как разрешения развертывания, валидаторы мостов, облачная инфраструктура, администраторские ключи, оффлайн-конечные точки RPC и теперь компьютеры разработчиков, зависимости пакетов и среды программирования ИИ, которые производят и настраивают все вышеперечисленное.
Смарт-контракт может пройти каждый аудит, заказанный протоколом, и все равно находиться на вершине пайплайна развертывания, где постинсталляционный хук уже выгрузил токен GitHub разработчика.
TrapDoor — это конкретная кампания с конкретным числом пакетов и временем обнаружения. Поверхность атаки, на которую она была нацелена — компьютеры разработчиков, реестры пакетов, учетные данные CI/CD, файлы программирования ИИ и облачные аккаунты — сохраняется и после списка пакетов TrapDoor.
Другие кампании уже используют те же пути, и следующий эксплойт DeFi может начаться на ноутбуке разработчика, внутри скрипта сборки или в среде программирования ИИ.
Пост Следующий крупный эксплойт DeFi начнется до развертывания кода впервые появился на CryptoSlate.