Forskere hos Soclet har opdaget et nyt supply-side-angreb, der er rettet mod kryptoudviklere, der bruger pakker fra npm, PyPI og Crates.io. Kampagnen, der har fået navnet Trapdoor, har til formål at stjæle nøgler til kryptotegnebøger og andre fortrolige oplysninger fra udviklere i kryptosektoren.
Trapdoor-malware: Det omfattende angreb på forsyningskæden rettet mod kryptoudviklere
SKREVET AF
DEL
Vigtigste konklusioner
- Den 22. maj opdagede Socket, at Trapdoor-malware havde inficeret 34 udviklerpakker for at stjæle kryptotegnebøger og nøgler.
- Kampagnen, der omfatter 384 versioner, snyder AI-værktøjer og har alvorlige konsekvenser for udviklingsmarkedet.
- Efter et lignende angreb i september advarer Soclet om, at udviklere nu skal sikre AI-miljøer mod kryptotyveri.
Supply Chain-angrebsplanen Trapdoor går efter udviklere for at opnå maksimal ydeevne
Mens nogle malware-kampagner er rettet mod almindelige kryptovaluta-brugere, fokuserer andre på udviklere med det formål at fange mål med større sandsynlighed for at besidde store mængder kryptovaluta og have adgang til bredere ressourcer.
Forskere hos Socket, et firma der specialiserer sig i at forhindre angreb på forsyningskæden, har identificeret en bred kampagne rettet mod krypto-udviklere, der bruger inficerede pakker på tværs af npm, PyPI og Crates.io.
Supply chain-angrebet, der har fået navnet Trapdoor, omfatter 34 pakker på tværs af disse udviklingsmiljøer og dækker over 384 versioner, hvoraf nogle stadig er tilgængelige. Socket rapporterede, at de berørte pakker blev udgivet i bølger fra den 22. maj og derefter blev opdateret i løbet af det følgende weekend.
Pakkerne skilte sig ud på grund af deres karakter, da de angiveligt repræsenterede generiske udviklerværktøjer og dukkede op i hurtig rækkefølge på tværs af forskellige registre. Dette giver kampagnen "bred rækkevidde på tværs af tilstødende udviklerfællesskaber, hvor kryptopunge, cloud-legitimationsoplysninger, Github-tokens og SSH-nøgler sandsynligvis er til stede," vurderede Socket.
De inficerede pakker invaderer kryptoudvikleres udviklingsmiljø ved at udnytte disse påståede open source-værktøjer og få fat i hemmeligheder, kryptopunge, Secure Shell (SSH)-nøgler og andre relevante data.
Trapdoor-inficerede pakker forsøger også at udnytte AI-værktøjer til at samarbejde med deres angreb ved hjælp af direktivfiler til at narre AI-kodningsværktøjer til at køre en sikkerhedsscanning og eksfiltrere meget følsomme data.
Socket udtalte, at selvom denne teknik ikke kunne fungere konsekvent på tværs af alle AI-værktøjer og -modeller, viser dens tilstedeværelse, at angribere "aktivt eksperimenterer med AI-udviklingsmiljøer som en del af malware-kampagner i forsyningskæden."
Kædeangreb bliver mere og mere almindelige. I september blev kryptosamfundet advaret om et lignende hack, hvor flere pakker, der bruges af kryptopunge, blev kompromitteret og modificeret for at stjæle kryptovalutamidler fra punge, der indeholdt blandt andet bitcoin, ether og solana.
