Socleti uurijad on avastanud uue tarneahela rünnaku, mis on suunatud npm-, PyPI- ja Crates.io-pakette kasutavatele krüptovaluuta arendajatele. „Trapdoor“ nime all tuntud kampaania keskendub krüptovaluuta valdkonna arendajatelt krüptovaluuta rahakoti võtmete ja muude salajaste andmete varastamisele.
Trapdoor-pahavara: krüptovaluuta arendajaid tabanud ulatuslik tarneahela rünnak
KIRJUTAS
JAGA
Peamised järeldused
- 22. mail avastas Soclet, et Trapdoor-pahavara nakatas 34 arendajapaketti, et varastada krüptorahakotte ja võtmeid.
- 384 versiooni hõlmav kampaania petab AI-tööriistu ja mõjutab tõsiselt arendusturgu.
- Pärast sarnast septembris toimunud rünnakut hoiatab Soclet arendajaid, et nad peavad järgmisena kindlustama AI-keskkonnad krüptovarguste eest.
Tarneahela rünnakukava Trapdoor sihib arendajaid maksimaalse tulemuse saavutamiseks
Kui mõned pahavarakampaaniad on suunatud tavalistele krüptovaluuta kasutajatele, keskenduvad teised arendajatele, eesmärgiga tabada sihtmärke, kellel on suurem tõenäosus omada suuri krüptovaluuta summasid ja juurdepääsu laiematele ressurssidele.
Tarneahela rünnakute ennetamisele spetsialiseerunud ettevõtte Socket teadlased on tuvastanud laiaulatusliku kampaania, mis on suunatud krüptovaluuta arendajatele ja kasutab nakatunud pakette npm, PyPI ja Crates.io kaudu.
Trapdooriks nimetatud tarneahela rünnak hõlmab 34 paketti nendes arenduskeskkondades, mis hõlmavad üle 384 versiooni, millest mõned on endiselt saadaval. Socket teatas, et mõjutatud paketid avaldati lainetena alates 22. maist ja neid uuendati järgneva nädalavahetuse jooksul.
Paketid paistsid silma oma olemuse tõttu, kuna need esindasid väidetavalt üldisi arendajate tööriistu ja ilmusid kiiresti järjestikku erinevates registrites. See annab kampaaniale „laia ulatuse naabruses asuvates arendajate kogukondades, kus tõenäoliselt leidub krüptorahakotte, pilve kasutajatunnuseid, Githubi tokeneid ja SSH-võtmeid“, hindas Socket.
Nakatunud paketid tungivad krüptovaluuta arendajate arenduskeskkonda, kasutades ära neid väidetavaid avatud lähtekoodiga tööriistu, haarates enda valdusse salajasi andmeid, krüptovaluuta rahakotte, Secure Shelli (SSH) võtmeid ja muid asjakohaseid andmeid.
Trapdooriga nakatunud paketid püüavad oma rünnakus ära kasutada ka AI-tööriistu, kasutades direktiivifaile, et petta AI-kodeerimistööriistu turvaskaneeringut läbi viima ja väga tundlikke andmeid välja viima.
Socket märkis, et kuigi see tehnika ei pruugi toimida järjepidevalt kõigi AI-tööriistade ja mudelite puhul, näitab selle olemasolu, et ründajad „eksperimenteerivad aktiivselt AI-arenduskeskkondadega osana tarneahela pahavarakampaaniatest”.
Ahelrünnakud muutuvad üha tavalisemaks. Septembris hoiatati krüptokogukonda sarnase häkkimise eest, mille käigus mitmed krüptorahakottides kasutatavad paketid olid ohustatud ja muudetud, et varastada krüptovaluuta vahendeid rahakottidest, mis sisaldasid muu hulgas bitcoini, ethereumi ja solanat.
