Socletin tutkijat ovat havainneet uuden toimitusketjuhyökkäyksen, joka kohdistuu kryptovaluuttojen kehittäjiin ja hyödyntää npm-, PyPI- ja Crates.io-paketteja. Trapdoor-nimellä tunnettu kampanja keskittyy kryptovaluuttalompakoiden avainten ja muiden salaisuuksien varastamiseen kryptovaluutta-alan kehittäjiltä.
Trapdoor-haittaohjelma: Kryptovaluutan kehittäjiin kohdistunut mittava toimitusketjuhyökkäys
KIRJOITTAJA
JAA
Tärkeimmät havainnot
- 22. toukokuuta Soclet havaitsi Trapdoor-haittaohjelman tartuttaneen 34 kehittäjäpakettia kryptolompakoiden ja avainten varastamiseksi.
- Kampanja kattaa 384 versiota, huijaa tekoälytyökaluja ja vaikuttaa vakavasti kehitysmarkkinoihin.
- Syyskuussa tapahtuneen vastaavan hyökkäyksen jälkeen Soclet varoittaa, että kehittäjien on seuraavaksi suojattava tekoälyympäristöt kryptovaluuttojen varkauksilta.
Toimitusketjuhyökkäyssuunnitelma Trapdoor kohdistuu kehittäjiin maksimaalisen suorituskyvyn saavuttamiseksi
Jotkut haittaohjelmakampanjat kohdistuvat tavallisiin kryptovaluutan käyttäjiin, kun taas toiset keskittyvät kehittäjiin, joiden kohdalla on suurempi todennäköisyys, että heillä on hallussaan suuria määriä kryptovaluuttaa ja pääsy laajempiin resursseihin.
Toimitusketjuhyökkäysten estämiseen erikoistuneen Socket-yrityksen tutkijat ovat tunnistaneet laajan kampanjan, joka kohdistuu kryptovaluutan kehittäjiin ja käyttää tartunnan saaneita paketteja npm:ssä, PyPI:ssä ja Crates.io:ssa.
Trapdoor-nimiseksi kutsuttu toimitusketjuhyökkäys kattaa 34 pakettia näissä kehitysympäristöissä, käsittäen yli 384 versiota, joista osa on edelleen saatavilla. Socket raportoi, että kyseiset paketit julkaistiin aaltoina 22. toukokuuta alkaen ja päivitettiin sitten seuraavan viikonlopun aikana.
Paketit erottuivat luonteensa vuoksi, sillä ne edustivat väitetysti yleisiä kehittäjätyökaluja ja ilmestyivät nopeasti peräkkäin eri rekistereissä. Tämä antaa kampanjalle "laajan ulottuvuuden vierekkäisiin kehittäjäyhteisöihin, joissa kryptolompakoita, pilvipalveluiden tunnuksia, Github-tunnuksia ja SSH-avaimia todennäköisesti esiintyy", Socket arvioi.
Tartunnan saaneet paketit tunkeutuvat kryptovaluutan kehittäjien kehitysympäristöön hyödyntämällä näitä väitettyjä avoimen lähdekoodin työkaluja ja kaappaamalla salaisuuksia, kryptovaluuttalompakoita, SSH-avaimia ja muita merkityksellisiä tietoja.
Trapdoor-tartunnan saaneet paketit yrittävät myös hyödyntää tekoälytyökaluja hyökkäyksessään käyttämällä ohjetiedostoja huijaamaan tekoälykoodaustyökaluja suorittamaan tietoturvatarkistuksen ja varastamaan erittäin arkaluonteisia tietoja.
Socket totesi, että vaikka tämä tekniikka ei välttämättä toimi johdonmukaisesti kaikissa tekoälytyökaluissa ja -malleissa, sen esiintyminen osoittaa, että hyökkääjät "kokeilevat aktiivisesti tekoälykehitysympäristöjä osana toimitusketjun haittaohjelmakampanjoita".
Ketjuhyökkäykset ovat yleistymässä. Syyskuussa kryptovaluuttayhteisö sai varoituksen vastaavasta hakkeroinnista, jossa useita kryptolompakoiden käyttämiä paketteja vaarannettiin ja muokattiin varastamaan kryptovaluuttavaroja lompakoista, jotka sisälsivät muun muassa bitcoineja, etheriä ja solanaa.
