Ermittler von Soclet haben eine neue Supply-Chain-Attacke entdeckt, die sich gegen Krypto-Entwickler richtet, die Pakete von npm, PyPI und Crates.io verwenden. Die als „Trapdoor“ bezeichnete Kampagne zielt darauf ab, Krypto-Wallet-Schlüssel und andere geheime Daten von Entwicklern im Kryptobereich zu stehlen.
„Trapdoor“-Malware: Der groß angelegte Angriff auf die Lieferkette, der sich gegen Krypto-Entwickler richtet
GESCHRIEBEN VON
TEILEN
Wichtige Erkenntnisse
- Am 22. Mai entdeckte Soclet die Trapdoor-Malware, die 34 Entwicklerpakete infiziert hatte, um Krypto-Wallets und -Schlüssel zu stehlen.
- Die Kampagne erstreckt sich über 384 Versionen, täuscht KI-Tools und hat schwerwiegende Auswirkungen auf den Entwicklungsmarkt.
- Nach einem ähnlichen Angriff im September warnt Soclet, dass Entwickler als Nächstes ihre KI-Umgebungen vor Krypto-Diebstahl sichern müssen.
Der Supply-Chain-Angriff „Trapdoor“ zielt auf Entwickler ab, um maximale Wirkung zu erzielen
Während einige Malware-Kampagnen auf normale Krypto-Nutzer abzielen, konzentrieren sich andere auf Entwickler, um Ziele zu erfassen, bei denen die Wahrscheinlichkeit höher ist, dass sie große Mengen an Kryptowährung besitzen und Zugang zu umfangreicheren Ressourcen haben.
Forscher bei Socket, einem Unternehmen, das sich auf die Abwehr von Supply-Chain-Angriffen spezialisiert hat, haben eine breit angelegte Kampagne identifiziert, die sich über infizierte Pakete auf npm, PyPI und Crates.io gegen Krypto-Entwickler richtet.
Der als „Trapdoor“ bezeichnete Supply-Chain-Angriff erstreckt sich über 34 Pakete in diesen Entwicklungsumgebungen und umfasst mehr als 384 Versionen, von denen einige noch immer verfügbar sind. Socket berichtete, dass die betroffenen Pakete ab dem 22. Mai in mehreren Wellen veröffentlicht und dann im Laufe des folgenden Wochenendes aktualisiert wurden.
Die Pakete fielen aufgrund ihrer Beschaffenheit auf, da sie angeblich generische Entwicklertools darstellten und in schneller Folge in verschiedenen Registern auftauchten. Dies verleiht der Kampagne „eine große Reichweite in benachbarten Entwickler-Communities, in denen Krypto-Wallets, Cloud-Anmeldedaten, GitHub-Token und SSH-Schlüssel wahrscheinlich vorhanden sind“, so die Einschätzung von Socket.
Die infizierten Pakete dringen in die Entwicklungsumgebung von Krypto-Entwicklern ein, nutzen diese vermeintlichen Open-Source-Tools aus und erlangen Zugriff auf Geheimnisse, Krypto-Wallets, Secure-Shell-Schlüssel (SSH) und andere relevante Daten.
Mit Trapdoor infizierte Pakete versuchen zudem, KI-Tools für ihre Angriffe zu nutzen, indem sie Direktivendateien einsetzen, um KI-Codierungstools dazu zu verleiten, einen Sicherheitsscan durchzuführen und hochsensible Daten zu exfiltrieren.
Socket erklärte, dass diese Technik zwar nicht bei allen KI-Tools und -Modellen konsistent funktioniere, ihr Vorhandensein jedoch zeige, dass Angreifer „im Rahmen von Malware-Kampagnen in der Lieferkette aktiv mit KI-Entwicklungsumgebungen experimentieren“.
Kettenangriffe werden immer häufiger. Im September wurde die Krypto-Community auf einen ähnlichen Hack aufmerksam gemacht, bei dem mehrere von Krypto-Wallets verwendete Pakete kompromittiert und so verändert wurden, dass Kryptowährungsguthaben aus Wallets gestohlen wurden, die unter anderem Bitcoin, Ether und Solana enthielten.
