Para peneliti di Soclet telah menemukan serangan rantai pasokan baru yang menargetkan pengembang kripto yang menggunakan paket npm, PyPI, dan Crates.io. Kampanye yang diberi nama Trapdoor ini berfokus pada pencurian kunci dompet kripto dan informasi rahasia lainnya dari para pengembang di industri kripto.
Malware Trapdoor: Serangan Rantai Pasokan Besar-besaran yang Menargetkan Pengembang Kripto
DITULIS OLEH
BAGIKAN
Poin Utama
- Pada 22 Mei, Soclet menemukan malware Trapdoor yang menginfeksi 34 paket pengembang untuk mencuri dompet kripto dan kuncinya.
- Meliputi 384 versi, kampanye ini menipu alat AI dan berdampak parah pada pasar pengembangan.
- Setelah serangan serupa pada bulan September, Soclet memperingatkan bahwa pengembang harus mengamankan lingkungan AI dari pencurian kripto.
Skema Serangan Rantai Pasokan Trapdoor Menargetkan Pengembang untuk Kinerja Maksimal
Sementara beberapa kampanye malware menargetkan pengguna kripto biasa, yang lain berfokus pada pengembang, dengan tujuan menjaring target yang memiliki peluang lebih tinggi untuk menyimpan kripto dalam jumlah besar dan memiliki akses ke sumber daya yang lebih luas.
Para peneliti di Socket, sebuah perusahaan yang berspesialisasi dalam mencegah serangan rantai pasokan, telah mengidentifikasi kampanye besar-besaran yang menargetkan pengembang kripto menggunakan paket yang terinfeksi di npm, PyPI, dan Crates.io.
Dikenal sebagai Trapdoor, serangan rantai pasokan ini mencakup 34 paket di lingkungan pengembangan tersebut, mencakup lebih dari 384 versi, dengan beberapa di antaranya masih tersedia. Socket melaporkan bahwa paket-paket yang terpengaruh diterbitkan secara bertahap mulai 22 Mei dan kemudian diperbarui sepanjang akhir pekan berikutnya.
Paket-paket tersebut menonjol karena sifatnya, karena diduga mewakili alat pengembang umum dan muncul secara berurutan di berbagai registri. Hal ini memberikan kampanye "jangkauan luas di komunitas pengembang yang berdekatan di mana dompet kripto, kredensial cloud, token GitHub, dan kunci SSH kemungkinan besar ada," demikian penilaian Socket.
Paket-paket yang terinfeksi menyerang lingkungan pengembangan pengembang kripto, memanfaatkan alat-alat open-source yang diduga ini, untuk menguasai rahasia, dompet kripto, kunci Secure Shell (SSH), dan data relevan lainnya.
Paket yang terinfeksi Trapdoor juga mencoba memanfaatkan alat AI untuk berkolaborasi dalam serangan mereka, menggunakan file direktif untuk mengelabui alat pengkodean AI agar menjalankan pemindaian keamanan dan mencuri data yang sangat sensitif.
Socket menyatakan bahwa meskipun teknik ini tidak dapat bekerja secara konsisten di semua alat dan model AI, keberadaannya menunjukkan bahwa penyerang "secara aktif bereksperimen dengan lingkungan pengembangan AI sebagai bagian dari kampanye malware rantai pasokan."
Serangan rantai semakin umum terjadi. Pada bulan September, komunitas kripto diberi peringatan tentang peretasan serupa, di mana beberapa paket yang digunakan oleh dompet kripto disusupi dan dimodifikasi untuk mencuri dana kripto dari dompet yang berisi bitcoin, ether, dan solana, di antara aset digital lainnya.
