Kritisk sikkerhetsadvarsel: Massiv forsyningskjedeangrep på Web3 og AI-utviklere
Cybersecurity-laboratoriet SlowMist har utstedt en kritisk sikkerhetsadvarsel med koden SM-2026-352284. I henhold til den offisielle uttalelsen har et aktivt angrep på tvers av forsyningskjeden blitt oppdaget, rettet mot skapere av Web3- og AI-produkter. Hackere injiserte mer enn 34 ondartede pakker og 384 tilknyttede versjoner inn i de største repositoriene, inkludert npm, PyPI og Crates.io, direkte rettet mot utviklere i Solana-, DeFi- og AI-økosystemene.
Hendelsen oppstår på bakgrunn av april måned, da DeFi-sektoren opplevde rekordhøye tap på 635 millioner dollar gjennom 28 hackerangrep. Selv om antallet direkte smart contract-utnyttelser gikk ned i mai, viser SlowMist-analyser en fundamental endring i angripers taktikk. Trusselaktører har skiftet fokus fra angrep på beskyttede servere til skjult kompromittering av utvikleres personlige enheter.
TrapDoor-malwaren og dens funksjonalitet
SlowMist-analysen viste at TrapDoor er designet for fullstendig kompromittering av utviklerstasjonene. Malwaren stjeler kryptovaluta-lommebøker, cloud-tokens som AWS og GitHub-legitimasjon, samt tilgangsnøkler, og sender dem til adresser kontrollert av angriperne. Konseptuelt gjentar ordningen logikken til den velkjente npm-ormen «Mini Shai-Hulud».
For å opprettholde skjult persistens i systemet, skriver payloaden seg direkte inn i AI-assistentkonfigurasjonsfiler som .cursorrules og CLAUDE.md, mens den også gjemmer seg inne i Git hooks og automatiseringsskript. I repositorier er programvaren forkledd som AI-plugins og byggeverktøy for Sui og Move.
Risikofaktorer og anbefalinger
Hendelsen forverres av trenden «vibe coding», der utviklere monterer prosjekter gjennom prompts og blindt kobler sammen dusinvis av nestede biblioteker. Som et resultat laster AI-agenter automatisk ned ondartede koder på maskiner der smarte redigerere har direkte tilgang til lokale konfigurasjonsfiler.
På grunn av den kritiske statusen til trusselen, instruerer SlowMist utviklerteam om å umiddelbart fjerne de berørte pakkene, isolere infiserte systemer, bevare logger og iverksette en trefaseprotokoll for sanering.
