Drei Paketregister, eine Schadcode-Kampagne und 35.000 Repos im Wirkungskreis: Socket Security hat unter dem Codenamen TrapDoor eine koordinierte Supply-Chain-Attacke auf npm, PyPI und Crates.io entlarvt. Besonders heikel: Die Schadpakete vergiften gezielt KI-Coding-Assistenten.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Kommt Ihnen das bekannt vor? Eine Woche, in der Lieferketten-Angriffe Schlagzeile nach Schlagzeile produzieren. Diesmal trifft es Entwickler aus Krypto-, DeFi-, Solana- und KI-Communities gleichzeitig durch eine TrapDoor-Kampagne, die seit dem 22. Mai 2026 läuft.
Das Wichtigste in Kürze
- Socket Research entdeckte 34 schädliche Pakete mit 384 Versionen auf npm, PyPI und Crates.io
- Frühester Datensatz: PyPI-Paket eth-security-auditor@0.1.0, hochgeladen am 22. Mai 2026, 20:20 UTC
- Erstmals in der Wildbahn: Manipulation von .cursorrules und CLAUDE.md zur Persistenz über KI-Assistenten
- Mediane Erkennungszeit durch Socket: 5 Minuten und 27 Sekunden
Was die Pakete genau stehlen
Die Payloads sind pro Ökosystem maßgeschneidert. Auf npm zündet ein postinstall-Hook das 1.149 Zeilen lange Skript trap-core.js, das AWS- und GitHub-Tokens vor der Exfiltration noch live über API-Calls validiert. Auf PyPI führt der Import des Pakets ein nachgeladenes JavaScript über GitHub Pages aus, sodass die Schadlogik nachträglich verändert werden kann, ohne ein neues Paket zu veröffentlichen. Auf Crates.io läuft eine build.rs während cargo build, sucht lokale Keystores, verschlüsselt sie mit dem XOR-Schlüssel cargo-build-helper-2026 und schickt sie an GitHub Gists.
Die Zielobjekte sind Wallets für Sui, Solana und Aptos, SSH-Keys, AWS-Credentials, GitHub-Tokens und Browserdaten. Die Paketnamen wirken vertrauenswürdig: prompt-engineering-toolkit, solidity-deploy-guard, defi-threat-scanner. Wer als Entwickler in den genannten Communities arbeitet, klickt fast reflexartig auf Install.
Warum die KI-Coding-Tools im Fokus stehen
Der Persistenz-Mechanismus ist das Neue an TrapDoor. Mehrere npm-Pakete legen versteckte Anweisungen in den Konfigurationsdateien .cursorrules und CLAUDE.md ab. Diese Dateien werden von KI-Coding-Assistenten wie Cursor und Claude Code automatisch geladen. Sobald ein Entwickler das nächste Mal eine Aufgabe an den Assistenten gibt, propagiert der Schadcode sich potenziell in KI-generiertem Quellcode weiter. Socket nennt das eine „neuartige Persistenzschicht durch KI-Assistenten“.
TrapDoor zeigt, dass die Angreifer KI-Werkzeuge nicht nur zur Reconnaissance nutzen, sondern bereits als Verbreitungskanal mitdenken. Entwickler-Workstations sind 2026 Teil der Software-Lieferkette.
— Markus Seyfferth, Chefredakteur Dr. Web
Was DACH-Entwicklungsteams jetzt prüfen sollten
Die Sofortmaßnahmen sind unangenehm konkret. Suchen Sie nach den Paketnamen aus der Socket-Indikatorliste in Ihren Lock-Files, prüfen Sie .cursorrules- und CLAUDE.md-Dateien mit cat -v auf unerwartete Steuerzeichen. Rotieren Sie AWS-Keys, GitHub-Tokens und SSH-Keys, falls in der letzten Woche eines der betroffenen Pakete installiert wurde. Damit ist die akute Lage erst einmal eingedämmt.
Strukturell hilft die parallel laufende Umstellung auf strenge Allowlists und Patch-Disziplin, wie sie das BSI im aktuellen Cybermonitor 2026 einfordert. Für die Hosting-Auswahl liefert der WordPress Hosting Vergleich 2026 Anhaltspunkte, welche Anbieter Patchmanagement ernst nehmen, denn die Lieferketten-Angriffe enden nicht beim Entwickler-Laptop.
Mehr Newshunger?
