Socket, DeFi 개발자 자격 증명을 노린 TrapDoor 패키지 발견

핵심 포인트

Socket은 npm, PyPI, Crates.io 전반에서 34개가 넘는 악성 패키지와 384개가 넘는 관련 버전을 발견한 공급망 캠페인 TrapDoor를 공개했다. Socket은 이 캠페인이 프로토콜을 구축·유지하는 개발자와 저장소, CI/CD 파이프라인, 클라우드 계정, 배포 키를 통제하는 자격 증명을 겨냥했다고 밝혔다. Socket은 문서화된 범위로 자격 증명 탈취와 인프라 노출을 확인했으며, 온체인 익스플로잇은 추론된 하위 결과로 남아 있다고 설명했다. Socket은 또한 .cursorrules 및 CLAUDE.md 파일에서 AI 보조 워크플로를 비밀 정보 탐색과 유출 쪽으로 유도하려는 숨은 지시문도 발견했다.

시장 심리

신중한 약세, 스트레스 국면, 기술 주도.

이유: TrapDoor는 프로토콜 배포 주변의 개발자 자격 증명을 겨냥했기 때문에, 이 이벤트는 직접적인 시장 촉매라기보다 DeFi 인프라의 보안 리스크로 해석된다.

유사 과거 사례

이런 유형의 소프트웨어 공급망 캠페인은 일반적으로 지연된 리스크를 만든다. 악성 패키지가 탐지된 뒤에도 탈취된 자격 증명이 계속 유효할 수 있기 때문이다. 차이점은 TrapDoor가 AI 코딩 보조 도구의 설정 파일도 겨냥했다는 점이며, 이는 개발자 도구가 유출 경로의 일부가 될 수 있음을 의미한다.

파급 효과

자격 증명 탈취는 개발자 기기에서 배포 파이프라인과 관리자 권한으로 확산될 수 있으며, 이는 오프체인 침해를 온체인 손실로 바꿀 수 있다. 팀들이 하위 접근이 발생하기 전에 노출된 자격 증명을 교체하면, 리스크는 의존성 검토 단계에 머물 수 있다.

기회와 리스크

기회: 핵심 모니터링 대상은 팀들이 하위 접근이 발생하기 전에 악성 의존성을 제거하고 노출된 자격 증명을 교체하는지 여부다.

리스크: 핵심 리스크는 침해된 개발자 기기가 중대형 프로토콜에서 배포 키, 브리지 인프라, 또는 관리자 자격 증명을 노출하는 것이다.