Los investigadores de Soclet han descubierto un nuevo ataque de tipo «supply» dirigido a desarrolladores del sector de las criptomonedas que utilizan paquetes de npm, PyPI y Crates.io. La campaña, bautizada como «Trapdoor», se centra en el robo de claves de monederos de criptomonedas y otros datos confidenciales de los desarrolladores de este sector.
El malware «Trapdoor»: el ataque masivo a la cadena de suministro dirigido a los desarrolladores de criptomonedas
ESCRITO POR
COMPARTIR
Puntos clave
- El 22 de mayo, Soclet detectó que el malware Trapdoor había infectado 34 paquetes de desarrollo para robar carteras y claves de criptomonedas.
- Con un alcance de 384 versiones, la campaña engaña a las herramientas de IA y afecta gravemente al mercado del desarrollo.
- Tras un ataque similar en septiembre, Soclet advierte a los desarrolladores de que deben proteger sus entornos de IA contra el robo de criptomonedas.
El esquema de ataque a la cadena de suministro Trapdoor se dirige a los desarrolladores para obtener el máximo rendimiento
Mientras que algunas campañas de malware se dirigen a los usuarios habituales de criptomonedas, otras se centran en los desarrolladores, con el objetivo de capturar objetivos con mayor probabilidad de poseer grandes cantidades de criptomonedas y tener acceso a recursos más amplios.
Los investigadores de Socket, una empresa especializada en la prevención de ataques a la cadena de suministro, han identificado una amplia campaña dirigida a desarrolladores de criptomonedas que utiliza paquetes infectados en npm, PyPI y Crates.io.
Bautizado como «Trapdoor», el ataque a la cadena de suministro abarca 34 paquetes en estos entornos de desarrollo, que engloban más de 384 versiones, algunas de las cuales siguen disponibles. Socket informó de que los paquetes afectados se publicaron en oleadas a partir del 22 de mayo y luego se actualizaron a lo largo del fin de semana siguiente.
Los paquetes llamaban la atención por su naturaleza, ya que supuestamente representaban herramientas genéricas para desarrolladores y aparecieron en rápida sucesión en diferentes registros. Esto le da a la campaña «un amplio alcance en comunidades de desarrolladores adyacentes donde es probable que haya carteras de criptomonedas, credenciales de la nube, tokens de Github y claves SSH», evaluó Socket.
Los paquetes infectados invaden el entorno de desarrollo de los desarrolladores de criptomonedas, aprovechando estas supuestas herramientas de código abierto, para hacerse con secretos, carteras de criptomonedas, claves de Secure Shell (SSH) y otros datos relevantes.
Los paquetes infectados con Trapdoor también intentan aprovechar las herramientas de IA para colaborar en su ataque, utilizando archivos de directivas para engañar a las herramientas de codificación de IA para que ejecuten un análisis de seguridad y exfiltren datos altamente sensibles.
Socket afirmó que, aunque esta técnica no funcionaba de manera consistente en todas las herramientas y modelos de IA, su presencia demuestra que los atacantes «están experimentando activamente con entornos de desarrollo de IA como parte de campañas de malware en la cadena de suministro».
Los ataques en cadena son cada vez más comunes. En septiembre, se alertó a la comunidad criptográfica sobre un hackeo similar, en el que varios paquetes utilizados por carteras criptográficas fueron comprometidos y modificados para robar fondos en criptomonedas de carteras que contenían bitcoin, ether y solana, entre otros activos digitales.
