2026年5月24日、Socket.devのセキュリティ研究チームは、npm、PyPI、Crates.ioの3大パッケージエコシステムにまたがるサプライチェーン投毒攻撃「TrapDoor」を明らかにしました。この攻撃では34個以上の悪意あるパッケージが関与し、合計384のバージョンが公開されており、標的は暗号通貨、DeFi、Solana、AI、およびセキュリティ分野の開発者に及びます。
攻撃者は、各パッケージエコシステム固有の実行メカニズム(npmのpostinstallフック、PyPIのimportエントリーポイント、Crates.ioのbuild.rsコンパイルスクリプト)を悪用し、インストール時またはコンパイル時に自動的に悪意あるロジックを起動させ、SSH鍵、ブロックチェーンウォレット設定、クラウド認証情報、ブラウザログイン状態など、高価値なデータを窃取しています。MistEyeセキュリティ監視システムは、オープンソースパッケージエコシステムに対する継続的な脅威ハンティングを通じて、この攻撃行動が3つのエコシステムで悪意あるパッケージを公開していることを検出しました。
攻撃者のクロスエコシステム手法を深く理解するため、Socket.devセキュリティチームが公表したTrapDoor行動に関連する34個の悪意あるパッケージから、各エコシステムタイプごとに代表的な1サンプルを選定し、詳細な分析を行いました。すなわち、PyPIエコシステムにおけるgit-config-sync(Git設定同期ツールを装う)、Crates.ioエコシステムにおけるsui-framework-helpers(Sui Move開発支援ライブラリを装う)、およびnpmエコシステムにおけるtoken-usage-tracker(Token使用量追跡ツールを装う)です。
そのうち、Pythonとnpmのサンプルはコードレベルで明確な関連性を示しており、両者はリモート設定ドメインddjidd564.github.ioを共有しています。さらに、npmサンプルは統一された攻撃識別子P-2024-001を使用しており、同一攻撃行動に含まれる別の悪意あるパッケージdev-env-bootstrapperとの間でパッケージ間呼び出し関係も存在します。一方、Rustサンプルは標的開発者層(Sui/Solana開発者)においてnpmサンプルと重複するものの、コード内には上記の共有URLや識別子は一切含まれていません。そのTrapDoor行動への帰属はSocket.devによる外部アトリビューションに基づくものであり、本分析ではコードレベルでの独立した検証は行っていません。
MistEyeは、SlowMistが独自開発したWeb3向け脅威インテリジェンスおよび動的セキュリティ監視システムであり、セキュリティ監視機能とインテリジェンス集約機能を統合し、ユーザーに対してリアルタイムのリスク警告および資産保護を提供します。今回のTrapDoor攻撃行動において、MistEyeシステムはPyPI、npm、Crates.ioの3つのパッケージエコシステムに登場した悪意あるパッケージをすべてマーキングしました。これを踏まえ、代表的な3つのサンプル——git-config-sync(PyPI)、token-usage-tracker(npm)、sui-framework-helpers(Crates.io)——をそれぞれ選定し、各サンプルの攻撃チェーンを完全に再構築する詳細分析を実施しました。
TrapDoor攻撃行動の核心的な設計思想は「一度の開発で、複数エコシステムで再利用可能」というものです。攻撃者は、各パッケージエコシステムごとに個別に悪意あるロジックを記述したわけではなく、統一されたデータ収集・外部送信フレームワークを構築し、各エコシステム固有の実行フックを介して、悪意ある行為をパッケージのインストール時またはコンパイル時に事前に起動させるようにしています。インフラストラクチャの観点では、3つの攻撃経路の共有度に明確な階層化が見られます。
インフラストラクチャの選定に関して注目すべき点は、攻撃者が意図的に、開発環境において広くホワイトリスト入りしている正当なサービスを外部送信チャネルとして選択したことです。GitHub Pages(github.io)およびGitHub Raw(raw.githubusercontent.com)は、開発者が日常的に依存するリソースホスティングプラットフォームであり、api.github.comはCI/CDおよび開発ツールにとって必須のインターフェース、webhook.siteは広く使われているwebhookデバッグサービスです。これらのドメインは、ほとんどの企業ネットワーク、エンドポイントセキュリティソフトウェア、およびファイアウォールルールにおいてブロックされず、悪意あるトラフィックは通常の開発通信に紛れて、アウトバウンド制限を回避できます。
3つの攻撃経路は、「トリガー → 収集 → 外部送信」という3つの主要フェーズにおいて一貫性を保っていますが、伝播/永続化能力については明確な差異が見られます。PythonおよびRustのサンプルはいずれもワンタイム窃取型であり、プロセス終了またはコンパイル完了と同時に悪意ある行為が終了します。一方、npmサンプルのみが、完全な伝播および永続化モジュールを備えており、.cursorrules、CLAUDE.md、Git hooks、およびシェルRCファイルを改変することで、プロジェクト・リポジトリ・ホストを横断する二次拡散を実現しています。
[SlowMist]
TrapDoor サプライチェーン攻撃:暗号通貨セキュリティと市場信頼への影響
最近明らかになったTrapDoorサプライチェーン攻撃は、暗号通貨開発者を標的とする洗練されたマルチエコシステムキャンペーンであり、ブロックチェーンセキュリティインフラに重大な影響をもたらします。この攻撃は単なる技術的脆弱性ではありません—暗号通貨開発エコシステムの基盤に対する直接的な攻撃であり、プロジェクトのセキュリティ、開発者の信頼、および市場評価に広範囲に及ぶ可能性がある結果をもたらします。
攻撃分析:暗号通貨開発に対するマルチベクトル脅威
TrapDoorキャンペーンは、npm、PyPI、Crates.io—ブロックチェーン開発のための3つの重要なパッケージエコシステム間の驚異的なレベルの連携を示しています。npmのpostinstallフック、PyPIのimportエントリーポイント、Crates.ioのbuild.rsコンパイルスクリプトといったネイティブ実行メカニズムを活用することで、攻撃者は開発者の通常のワークフロー中に悪意のあるコードの自動実現を実現しました。この「一度書いて、エコシステム全体に展開する」アプローチは、検知を最小限に抑えながら影響を最大化します。
この攻撃を特別にしているのは、暗号通貨開発者への手術的な標的選定です。token-usage-tracker npmパッケージとsui-framework-helpers Rustパッケージは、SolanaとSuiで作業するコミュニティを特異的に標的としています—資格情報が侵害されれば大きな資金窃取やリポジトリ乗っ取りにつながり得る、高価値のブロックチェーンエコシステムです。攻撃者がSSHキー、ウォレット設定、クラウド資格情報の窃取に焦点を当てていることは、個々のマシンだけでなく開発インフラを侵害する明確な意図を示しています。
市場への影響:セキュリティ侵害が変動性を引き起こす触媒
暗号通貨投資家にとって、この攻撃は従来の市場要因を超えた新しいリスクベクトルをもたらします。直接的な影響は、いくつかの方法で現れる可能性が高いです:
-
開発チームが侵害されたプロジェクトにおける短期的な価格圧力。直接侵害を認めるプロジェクトは少ないでしょうが、市場は最終的にセキュリティ上の懸念を価格に反映させるでしょう。
-
エコシステム全体における開発者依存関係への増加する監視。依存関係ツリーが複雑で、パッケージへの頻繁な更新を行うプロジェクトは、投資家からより強い疑念に直面する可能性があります。
-
セキュリティ重視プロジェクトと開発慣行が緩いプロジェクト間の異なるパフォーマンス。堅牢なセキュリティプロトコルを示すことができるチームのアウトパフォーマンスが期待されます。
最も重要な市場への影響は、急成長中の「セキュリティアズアサービス」セクターに及ぶ可能性があります。このキャンペーンを検出・分析したSlowMistのようなプロジェクトは、開発者セキュリティ脅威に対する意識の高まりの恩恵を受ける立場にあります。彼らの洗練された攻撃を監視・対応する独自の能力は、持続的な投資家の関心に繋がる競争上の優位性を創出します。
戦略的意味合い:プロジェクトリスク評価の再定義
経験豊富な投資家は、今やサプライチェーンセキュリティをデューデリジェンスフレームワークに組み込む必要があります。この攻撃は、投資決定に影響を与えるべきいくつかの重要な要因を明らかにしています:
-
開発者セキュリティ姿勢はコード監査と同等に重要になりつつあります。パッケージ署名、依存関係スキャン、分離された開発環境の実装に失敗するプロジェクトは、明らかにリスクが高まっています。
-
インフラの単一文化は系統的リスクをもたらします。これら3つのパッケージエコシステム内での暗号通貨開発の集中は、攻撃者が明らかに利用した単一障害点を創出します。
-
チームのセキュリティ意識は差別化要因です。積極的なセキュリティ慣行を示す開発チームは、ますます洗練された攻撃から防御するのにより良い立場にある可能性があります。
特に、適切なセキュリティ審査なしにコミュニティが維持するパッケージに依存するプロジェクトへの投資には注意を呼びかけます。このキャンペーンだけで384の悪意のあるバージョンを持つnpmエコシステムは、迅速なイテレーションサイクルと頻繁な依存関係更新を持つプロジェクトにとって特にリスクがあります。
セキュリティ脅威後の機会
この攻撃は重大なリスクをもたらす一方で、セキュリティイノベーターを特定できる投資家にとって魅力的な機会も創出しています:
-
複数のエコシステムで悪意のあるパッケージ挿入を検出・防止できるサプライチェーンセキュリティソリューションは、需要が増加します。マルチエコシステム監視機能を提供するプロジェクトは、特に好立地です。
-
開発ワークフローに直接統合される開発者セキュリティツール—自動化された依存関係スキャンやコード署名ソリューションなど—は、意識の高まりから利益を得ます。
-
より強力なセキュリティモデルと検証プロセスを持つ代替パッケージエコシステムは、現在の状況に代わる実行可能な選択肢として登場し、インフラプロジェクトへの投資機会を創出する可能性があります。
最も有望な機会は、セキュリティをコストセンターから競争上の優位性に変換できるプロジェクトにあります。この攻撃が示すように、不十分なセキュリティのコストは、個々の侵害をはるかに超えて広がりつつあります—それは暗号通貨開発の基盤そのものを脅かしています。
結論:市場の差別化要因としてのセキュリティ
TrapDoorキャンペーンは、洗練されたサプライチェーン攻撃が開発者インフラを特異的に標的とする、暗号通貨セキュリティ脅威における新時代の到来を示しています。投資家にとって、これはリスクと機会の両方を創出します。開発者セキュリティを優先し、堅牢なサプライチェーン保護を実装し、透明性のあるセキュリティ慣行を示すプロジェクトは、セキュリティを事後的に考慮するプロジェクトよりもパフォーマンスが良い可能性があります。
今後数ヶ月間、セキュリティ姿勢に基づく市場の差別化が増加すると期待されます。TrapDoorのような洗練されたマルチベクトル攻撃を防御する能力は、評価と投資家の信頼に直接的な影響を与える、ブロックチェーンプロジェクトにとっての主要な競争上の優位性になるでしょう。堅牢な開発者セキュリティ慣行を持つプロジェクトを特定し、支持できるセキュリティ重視の投資家は、この新興トレンドを活用するのに好立地にあるでしょう。
暗号通貨市場は長い間、そのセキュリティ脆弱性から批判されてきましたが、TrapDoorのような洗練された攻撃は業界の成熟を強制しています。このセキュリティファーストアプローチを受け入れるプロジェクトは、ユーザーをより良く保護するだけでなく、ますます混雑する市場で持続可能な競争上の優位性を獲得します。