TrapDoor бьёт по разработчикам через Claude Code и Cursor

Команда Socket зафиксировала скоординированную атаку TrapDoor сразу на три крупнейших репозитория пакетов: npm, PyPI и Crates.io. Опубликовано 34 вредоносных пакета, нацеленных на разработчиков из сферы криптовалют, ИИ и информационной безопасности. Цели стандартные: кража криптокошельков, SSH ключей и облачных учётных данных.

Самое интересное здесь не пакеты, а новый вектор доставки. Атакующие массово отправляют pull request’ы в популярные open source репозитории и подкладывают туда модифицированные файлы CLAUDE.md и .cursorrules. Это те самые конфиги, которые Claude Code и Cursor читают как доверенные инструкции от автора проекта.

Когда разработчик клонирует репозиторий и запускает ИИ ассистента, агент воспринимает содержимое CLAUDE.md или .cursorrules как легитимные правила работы. После этого Claude Code или Cursor может выполнить вредоносные команды от имени пользователя, и сам разработчик с большой вероятностью этого не заметит.

Новизна TrapDoor именно в этом векторе. Файлы конфигурации ИИ агента превращаются в новую поверхность для prompt injection через цепочку поставок, а сам ассистент становится исполнителем атаки.

Что стоит сделать прямо сейчас:

Сверить недавно установленные пакеты из npm, PyPI и Crates.io со списком IOC от Socket.

Проверять CLAUDE.md, .cursorrules и аналогичные конфиги в каждом склонированном репозитории, особенно в форках и свежих PR.

Не запускать ИИ агентов с правами на выполнение произвольных команд в незнакомых репозиториях без аудита правил.

Подробный разбор с деталями пакетов и индикаторами компрометации: https://socket.dev/blog/trapdoor-crypto-stealer-npm-pypi-crates

Источник: https://x.com/kimmonismus/status/2058584943052161488