Hackers misbruiken Claude en Cursor om cryptowallets leeg te halen

maandag, 25 mei 2026 (16:09) - Newsbit.nl

In dit artikel:

Cybersecuritybedrijf Socket waarschuwt voor een nieuwe malwarecampagne genaamd TrapDoor die zich richt op ontwikkelaars in de crypto- en AI-sector. De aanvallers verstoppen schadelijke code in ogenschijnlijk reguliere softwarepakketten op populaire ontwikkelaarsplatforms (npm, PyPI en Crates). Inmiddels zijn tientallen kwaadaardige pakketten en honderden varianten geïdentificeerd; de namen van die pakketten doen vaak denken aan AI-tools, blockchain- of beveiligingshulpmiddelen, waardoor besmetting moeilijk te herkennen is.

TrapDoor functioneert als een supply chain-aanval: eenmaal opgenomen in de ontwikkelomgeving zoekt de malware gericht naar cryptowallets (onder meer MetaMask, Coinbase Wallet, Binance Wallet, Solana, Sui en Aptos), cloudaccounts, API-sleutels, GitHub-tokens, SSH-sleutels en gegevens uit de Brave-browser. Voor crypto-ontwikkelaars is dat levensgevaarlijk omdat het stelen van privésleutels of seed phrases vaak direct tot verlies van tegoeden leidt.

Uniek aan deze campagne is dat de malware ook AI-codeassistenten zoals Claude en Cursor probeert te misleiden. De kwaadaardige packages bevatten verborgen instructies die deze assistenten moeten verleiden tot het uitvoeren van nep-beveiligingsscans, waardoor gevoelige informatie kan uitlekken. Onderzoekers merken bovendien op dat de aanvallers zelf AI gebruiken om nieuwe varianten sneller te genereren, wat detectie bemoeilijkt. Ahmad Nassri van Socket licht dit risico toe als een belangrijke vernieuwing in de aanpak van de aanvalsgroep.

Onderzoekers zagen ook dat GitHub gebruikt werd om repositories met automatisch gegenereerde documentatie en deels werkende malware te hosten — kort na een gemeld beveiligingsincident bij GitHub zelf. Advies voor ontwikkelaars: controleer en vertrouw alleen geverifieerde pakketten, verwijder verdachte software, draai kritieke wallets bij voorkeur op hardware wallets en hanteer strikte sleutel- en toegangsbeveiliging (rotatie, 2FA, least privilege). De combinatie van supply chain-aanvallen en misbruik van AI maakt TrapDoor extra gevaarlijk en vraagt om verhoogde waakzaamheid.