Eine neue Malware-Kampagne namens „TrapDoor“ stellt eine ernsthafte Bedrohung dar. Eine neue Malware-Kampagne namens TrapDoor zielt gezielt auf Entwickler im Krypto- und KI-Sektor ab. Das Cybersicherheitsunternehmen Socket warnt, dass der Angriff versucht, Krypto-Wallets, Passwörter, Cloud-Konten und API-Schlüssel über Softwarepakete zu stehlen, die täglich von Millionen von Programmierern genutzt werden.
Mittlerweile wurden Dutzende schädlicher Pakete und Hunderte von Varianten entdeckt. Die Kampagne fällt vor allem durch ein bemerkenswertes Element auf: TrapDoor versucht auch, KI-Code-Assistenten wie Claude und Cursor zu täuschen, um Wallets auszulesen.
TrapDoor nutzt einen sogenannten Supply-Chain-Angriff. Dabei verstecken Hacker Malware in Softwarepaketen, die Entwickler beim Erstellen von Anwendungen verwenden.
Die schädliche Software wurde auf drei großen Entwicklerplattformen entdeckt: npm für JavaScript und Webentwicklung, PyPI für Python und KI-Anwendungen sowie Crates für die Programmiersprache Rust. Die Pakete tragen Namen, die auf KI-Software, Blockchain-Entwicklung oder Sicherheitstools verweisen. Dadurch wirken sie wie legitime Entwicklertools und sind schwer zu erkennen.
Sobald installiert, sucht TrapDoor nach Kryptowallets, Cloud-Accounts, API-Schlüsseln, GitHub-Tokens und SSH-Schlüsseln. Beliebte Wallets wie MetaMask, Coinbase Wallet, Binance Wallet, Solana, Sui und Aptos stehen spezifisch auf der Zielliste. Zudem sammelt die Malware Daten aus dem Brave-Browser.
Für Krypto-Entwickler stellt dies eine direkte Bedrohung dar. Ein gestohlener privater Schlüssel oder eine gestohlene Seed-Phrase bedeutet oft den sofortigen Verlust des gesamten Guthabens in der Wallet.
Der auffälligste Aspekt der Angriffskampagne ist, wie TrapDoor KI-Code-Assistenten missbraucht. Laut Ahmad Nassri, dem technischen Direktor von Socket, enthält die Malware versteckte Anweisungen, die versuchen, KI-Tools wie Claude und Cursor zu täuschen. Die Malware fordert diese Assistenten auf, einen gefälschten Sicherheitsscan durchzuführen, wodurch sensible Informationen dennoch nach außen gelangen.
Zudem deutet der Aufbau der Offensive darauf hin, dass die Angreifer selbst KI einsetzen, um neue Malware-Varianten schneller zu generieren. Das macht TrapDoor schwieriger zu bekämpfen, da herkömmliche Sicherheits-Tools Schwierigkeiten haben, sich schnell weiterentwickelnden Code zu erkennen.
Die Forscher geben an, dass GitHub zur Verbreitung der schädlichen Pakete genutzt wurde. Hacker legten Repositories mit automatisch generierter Dokumentation, Entwicklertools und teilweise funktionierender Malware-Code an.
Diese Warnung folgt kurz nach der Meldung eines Sicherheitsvorfalls bei GitHub selbst, bei dem Hacker über das kompromittierte Gerät eines Mitarbeiters unbefugten Zugriff auf interne Repositories erhielten.
Cyberkriminelle zielen zunehmend auf Softwareentwickler in der Krypto- und KI-Industrie ab, da diese oft über wertvolle Daten wie Wallets, Serverschlüssel und Cloud-Zugänge verfügen.
Sicherheitsexperten raten, Softwarepakete stets sorgfältig zu überprüfen, bevor sie installiert werden. Es ist zudem ratsam, ausschließlich Pakete aus verifizierten Quellen zu verwenden, verdächtige Software umgehend zu entfernen und Kryptowallets mit großen Guthaben vorzugsweise auf einem Hardware-Wallet zu führen.
Gerade die sogenannten Krypto-Bridges, die verschiedene Blockchains miteinander verbinden, erweisen sich als verwundbar.
Ein Großteil der kürzlich beim Blockchain-Projekt Verus gestohlenen Kryptowährungen wurde wiedergefunden.
Ein scheinbar harmloses Spiel auf Steam wurde genutzt, um Malware zu verbreiten, die Kryptowährungen von Spielern stehlen soll.
ChatGPT, Gemini und DeepSeek erwarten, dass der XRP-Kurs kurzfristig bei rund 1,34 Dollar verharrt.
AI-Modelle prognostizieren einen XRP-Kurs von durchschnittlich 1,55 Dollar bis Ende Mai. Investoren haben seit Oktober 2025 4 Milliarden XRP gekauft. Der Markt wartet auf CLARITY Act.
Ein Anleger, der Anfang 2026 XRP für 1.000 Dollar kaufte, steht trotz einer spektakulären Rallye Anfang des Jahres immer noch im Minus.
