נוזקת Trapdoor: מתקפת שרשרת האספקה העצומה המכוונת למפתחי קריפטו

תוכנית מתקפת שרשרת האספקה Trapdoor מכוונת למפתחים להשגת ביצועים מרביים

בעוד שחלק מקמפייני הנוזקה מכוונים למשתמשי קריפטו יומיומיים, אחרים מתמקדים במפתחים, במטרה ללכוד מטרות עם סבירות גבוהה יותר להחזיק כמויות גדולות של מטבעות קריפטוגרפיים ולהיות בעלי גישה למשאבים רחבים יותר.

חוקרים ב-Socket, חברה המתמחה במניעת מתקפות שרשרת אספקה, זיהו קמפיין רחב המכוון למפתחי קריפטו באמצעות חבילות נגועות ברחבי npm, PyPI ו-Crates.io.

המתקפה בשרשרת האספקה, שכונתה Trapdoor, משתרעת על פני 34 חבילות ברחבי סביבות הפיתוח הללו, וכוללת למעלה מ-384 גרסאות, כאשר חלקן עדיין זמינות. Socket דיווחה שהחבילות המושפעות פורסמו בגלים החל מ-22 במאי, ולאחר מכן עודכנו לאורך סוף השבוע שלאחר מכן.

החבילות בלטו בשל אופיין, שכן לפי הטענה הן ייצגו כלי פיתוח גנריים והופיעו ברצף מהיר במאגרים שונים. דבר זה מעניק לקמפיין “טווח הגעה רחב בקרב קהילות מפתחים סמוכות שבהן סביר שיימצאו ארנקי קריפטו, פרטי גישה לענן, טוקנים של Github ומפתחות SSH”, העריכה Socket.

החבילות הנגועות חודרות לסביבת הפיתוח של מפתחי קריפטו, תוך ניצול כלי קוד פתוח לכאורה, ומשיגות שליטה על סודות, ארנקי קריפטו, מפתחות Secure Shell (SSH) ונתונים רלוונטיים נוספים.

חבילות נגועות ב-Trapdoor מנסות גם לנצל כלי AI כדי לשתף פעולה עם המתקפה, באמצעות קבצי הנחיות כדי להטעות כלי קידוד מבוססי AI להריץ סריקת אבטחה ולהדליף נתונים רגישים במיוחד.

Socket ציינה כי אף שטכניקה זו אינה יכולה לעבוד באופן עקבי בכל כלי ומודלי ה-AI, עצם נוכחותה מראה שהתוקפים “מנסים באופן פעיל סביבות פיתוח מבוססות AI כחלק מקמפייני נוזקה בשרשרת אספקה.”

מתקפות שרשרת נעשות נפוצות יותר. בספטמבר, קהילת הקריפטו הוזהרה מפני פריצה דומה, שבה כמה חבילות שבהן משתמשים ארנקי קריפטו נפגעו ושונו כדי לגנוב כספי קריפטו מארנקים המכילים ביטקוין, אתר וסולאנה, בין נכסים דיגיטליים אחרים.