A Soclet kutatói felfedeztek egy új, a kriptovaluta-fejlesztőket célzó ellátási lánc-támadást, amely az npm, a PyPI és a Crates.io csomagokat használja. A „Trapdoor” névre keresztelt kampány célja a kriptovaluta-pénztárcák kulcsainak és egyéb titkos adatoknak a kriptovaluta-szektorban tevékenykedő fejlesztőktől való ellopása.
A Trapdoor kártevő: a kriptovaluta-fejlesztőket célzó hatalmas ellátási lánc elleni támadás
ÍRTA
MEGOSZTÁS
Főbb megállapítások
- Május 22-én a Soclet felfedezte, hogy a Trapdoor kártevő 34 fejlesztői csomagot fertőzött meg kriptopénztárcák és kulcsok ellopása céljából.
- A 384 verziót érintő kampány megtéveszti az AI-eszközöket, és súlyosan befolyásolja a fejlesztői piacot.
- Egy hasonló, szeptemberi támadás után a Soclet arra figyelmeztet, hogy a fejlesztőknek mostantól meg kell védeniük az AI-környezeteket a kriptovaluta-lopásoktól.
A Trapdoor ellátási lánc elleni támadási rendszer a fejlesztőket célozza meg a maximális teljesítmény érdekében
Míg egyes kártevő kampányok a mindennapi kriptovaluta-felhasználókat célozzák meg, mások a fejlesztőkre koncentrálnak, azzal a céllal, hogy olyan célpontokat szerezzenek meg, akiknél nagyobb az esélye annak, hogy nagy mennyiségű kriptovalutával rendelkeznek és szélesebb körű erőforrásokhoz férnek hozzá.
A szállítói lánc támadások megelőzésére szakosodott Socket kutatói azonosítottak egy széles körű kampányt, amely kriptovaluta-fejlesztőket céloz meg az npm, a PyPI és a Crates.io platformokon keresztül terjesztett fertőzött csomagok segítségével.
A Trapdoor névre keresztelt ellátási lánc-támadás 34 csomagot érint ezekben a fejlesztői környezetekben, több mint 384 verziót felölelve, amelyek közül néhány még mindig elérhető. A Socket jelentése szerint az érintett csomagokat május 22-től kezdődően több hullámban tették közzé, majd a következő hétvégén frissítették őket.
A csomagok jellegük miatt tűntek fel, mivel állítólag általános fejlesztői eszközöket képviseltek, és gyorsan egymás után jelentek meg a különböző nyilvántartásokban. Ez a kampánynak „széles körű elérést biztosít a szomszédos fejlesztői közösségekben, ahol valószínűleg kriptopénztárcák, felhőalapú hitelesítő adatok, Github-tokének és SSH-kulcsok találhatók” – értékelte a Socket.
A fertőzött csomagok behatolnak a kriptográfiai fejlesztők fejlesztői környezetébe, kihasználva ezeket az állítólagos nyílt forráskódú eszközöket, és megszerezve a titkos adatokat, kriptográfiai pénztárcákat, biztonságos shell (SSH) kulcsokat és egyéb releváns adatokat.
A Trapdoor fertőzött csomagok megpróbálják kihasználni az AI-eszközöket is a támadásukhoz, irányítófájlokat használva megtévesztik az AI-kódoló eszközöket, hogy azok biztonsági vizsgálatot futtassanak, és így rendkívül érzékeny adatokat szivárogtassanak ki.
A Socket kijelentette, hogy bár ez a technika nem működik következetesen minden AI-eszközön és -modellen, jelenléte azt mutatja, hogy a támadók „aktívan kísérleteznek az AI-fejlesztési környezetekkel az ellátási láncban végrehajtott rosszindulatú programok kampányainak részeként”.
A lánctámadások egyre gyakoribbak. Szeptemberben a kriptográfiai közösséget figyelmeztették egy hasonló hackelésre, amelynek során több, kriptopénztárcák által használt csomagot is megfertőztek és módosítottak, hogy kriptopénzt lopjanak el a bitcoin, ether és solana, valamint egyéb digitális eszközöket tartalmazó tárcákból.
