SECURITY·중요도 8·2026. 05. 25.·The Hacker News
TrapDoor Supply Chain Attack Spreads Credential-Stealing Malware via npm, PyPI, and CratesIO
── KO ──────────────────
TrapDoor 공격이 npm, PyPI, Crates.io를 통해 자격증명 탈취 악성코드를 유포하고 있습니다.
TrapDoor라는 이름의 새로운 소프트웨어 공급망 공격 캠페인이 npm, PyPI 및 Crates.io를 타겟으로 해 자격증명 탈취 악성코드를 배포하고 있습니다. 이 캠페인은 34개 이상의 악성 패키지와 384개 이상의 버전에 걸쳐 있으며, 공격의 첫 번째 활동은 2026년 5월 22일에 기록되었습니다. 지속적으로 새로운 패키지가 생태계에 출현하고 있습니다.
── EN ──────────────────
TrapDoor attack spreads credential-stealing malware via npm, PyPI, and Crates.io.
A new software supply chain attack campaign, named TrapDoor, targets npm, PyPI, and Crates.io to distribute credential-stealing malware. The campaign spans over 34 malicious packages and 384 versions. The earliest activity was recorded on May 22, 2026, with new packages being published in waves to the ecosystems.