소프트웨어 공급망 보안 업체 Socket이 이번 주 발표한 보고서에 따르면, 'TrapDoor'로 명명된 새로운 공급망 공격이 악성 패키지를 심어 인기 있는 AI 코딩 어시스턴트를 가로채는 방식으로 암호화폐 개발자들을 표적으로 삼고 있습니다. 이 캠페인은 개발자들이 자동화된 코딩 도구에 두는 신뢰를 악용하여 피해자 지갑에서 직접 암호화폐를 빼돌립니다.
TrapDoor 작동 방식
Socket 연구원들은 공개 저장소에 업로드된 악성 패키지 무리를 식별했습니다. 설치되면 이 악성코드는 많은 개발자들이 제안과 자동 완성을 위해 의존하는 AI 코딩 어시스턴트의 출력에 숨겨진 명령을 주입합니다. 그런 다음 해당 명령은 개발
