Výzkumníci ze společnosti Soclet odhalili nový útok typu „supply chain“, který se zaměřuje na vývojáře kryptoměn využívající balíčky npm, PyPI a Crates.io. Kampaň s názvem Trapdoor se soustředí na krádež klíčů kryptoměnových peněženek a dalších citlivých údajů od vývojářů v kryptoměnovém sektoru.
Malware Trapdoor: Masivní útok na dodavatelský řetězec zaměřený na vývojáře kryptoměn
NAPSAL
SDÍLET
Hlavní body
- 22. května společnost Socket objevila malware Trapdoor, který infikoval 34 balíčků pro vývojáře s cílem ukrást kryptoměnové peněženky a klíče.
- Kampaň, která se týká 384 verzí, oklamává nástroje umělé inteligence a má vážný dopad na trh vývoje.
- Po podobném útoku v září společnost Soclet varuje, že vývojáři musí v budoucnu zabezpečit prostředí umělé inteligence před krádežemi kryptoměn.
Útok na dodavatelský řetězec Trapdoor cílí na vývojáře pro maximální výkon
Zatímco některé malware kampaně cílí na běžné uživatele kryptoměn, jiné se zaměřují na vývojáře s cílem zachytit cíle s vyšší pravděpodobností, že drží velké množství kryptoměn a mají přístup k širším zdrojům.
Výzkumníci ze společnosti Socket, která se specializuje na prevenci útoků na dodavatelský řetězec, identifikovali rozsáhlou kampaň zaměřenou na vývojáře kryptoměn, která využívá infikované balíčky na platformách npm, PyPI a Crates.io.
Útok na dodavatelský řetězec, nazvaný Trapdoor, zahrnuje 34 balíčků v těchto vývojových prostředích, které zahrnují více než 384 verzí, z nichž některé jsou stále k dispozici. Společnost Socket uvedla, že postižené balíčky byly publikovány v několika vlnách počínaje 22. květnem a poté byly aktualizovány během následujícího víkendu.
Balíčky vynikaly svou povahou, protože údajně představovaly generické vývojářské nástroje a objevovaly se v rychlém sledu v různých registrech. To dává kampani „široký dosah napříč sousedními vývojářskými komunitami, kde se pravděpodobně vyskytují kryptoměnové peněženky, přihlašovací údaje do cloudu, tokeny Githubu a klíče SSH,“ zhodnotila společnost Socket.
Infikované balíčky pronikají do vývojového prostředí vývojářů kryptoměn, využívají tyto údajné open-source nástroje a zmocňují se tajných informací, kryptoměnových peněženek, klíčů Secure Shell (SSH) a dalších relevantních dat.
Balíčky infikované Trapdoor se také snaží využít nástroje AI ke spolupráci při útoku, přičemž pomocí direktivních souborů oklamávají nástroje pro kódování AI, aby spustily bezpečnostní skenování a exfiltrovaly vysoce citlivá data.
Socket uvedl, že ačkoli tato technika nemusí fungovat konzistentně u všech nástrojů a modelů AI, její přítomnost ukazuje, že útočníci „aktivně experimentují s vývojovými prostředími AI v rámci malwarových kampaní zaměřených na dodavatelský řetězec“.
Řetězové útoky jsou stále častější. V září byla kryptoměnová komunita upozorněna na podobný hack, při kterém bylo několik balíčků používaných kryptoměnovými peněženkami napadeno a upraveno tak, aby ukradly kryptoměnové prostředky z peněženek obsahujících mimo jiné bitcoiny, ether a solanu.
Google: Severní Korea používá blockchain k distribuci malwaru
Odhalte inovativní strategii, díky které Severní Korea skrývá malware v rámci chytrých kontraktů na veřejných blockchainových sítích. read more.
Přečíst
Google: Severní Korea používá blockchain k distribuci malwaru
Odhalte inovativní strategii, díky které Severní Korea skrývá malware v rámci chytrých kontraktů na veřejných blockchainových sítích. read more.
PřečístGoogle: Severní Korea používá blockchain k distribuci malwaru
PřečístOdhalte inovativní strategii, díky které Severní Korea skrývá malware v rámci chytrých kontraktů na veřejných blockchainových sítích. read more.
