I ricercatori di Soclet hanno scoperto una nuova campagna di attacchi di tipo "supply chain" che prende di mira gli sviluppatori del settore delle criptovalute tramite i pacchetti npm, PyPI e Crates.io. La campagna, denominata Trapdoor, mira a sottrarre le chiavi dei portafogli di criptovalute e altre informazioni riservate agli sviluppatori del settore.
Il malware Trapdoor: il massiccio attacco alla catena di approvvigionamento che prende di mira gli sviluppatori di criptovalute
SCRITTO DA
CONDIVIDI
Punti chiave
- Il 22 maggio, Soclet ha scoperto che il malware Trapdoor aveva infettato 34 pacchetti per sviluppatori con l'obiettivo di rubare portafogli e chiavi crittografiche.
- Con 384 versioni coinvolte, la campagna inganna gli strumenti di IA e ha un impatto grave sul mercato dello sviluppo.
- Dopo un attacco simile avvenuto a settembre, Soclet avverte che gli sviluppatori devono ora proteggere gli ambienti di IA dal furto di criptovalute.
Schema di attacco alla catena di approvvigionamento: Trapdoor prende di mira gli sviluppatori per ottenere le massime prestazioni
Mentre alcune campagne di malware prendono di mira gli utenti quotidiani di criptovalute, altre si concentrano sugli sviluppatori, con l'obiettivo di catturare bersagli con una maggiore probabilità di detenere grandi quantità di criptovaluta e di avere accesso a risorse più ampie.
I ricercatori di Socket, un'azienda specializzata nella prevenzione degli attacchi alla catena di approvvigionamento, hanno identificato un'ampia campagna che prende di mira gli sviluppatori di criptovalute utilizzando pacchetti infetti su npm, PyPI e Crates.io.
Soprannominato Trapdoor, l'attacco alla catena di approvvigionamento coinvolge 34 pacchetti in questi ambienti di sviluppo, comprendendo oltre 384 versioni, alcune delle quali sono ancora disponibili. Socket ha riferito che i pacchetti interessati sono stati pubblicati a ondate a partire dal 22 maggio e poi aggiornati nel corso del fine settimana successivo.
I pacchetti si sono distinti per la loro natura, poiché presumibilmente rappresentavano strumenti generici per sviluppatori e sono apparsi in rapida successione su diversi registri. Ciò conferisce alla campagna "un'ampia portata nelle comunità di sviluppatori adiacenti dove è probabile che siano presenti portafogli crittografici, credenziali cloud, token Github e chiavi SSH", ha valutato Socket.
I pacchetti infetti invadono l'ambiente di sviluppo degli sviluppatori di criptovalute, sfruttando questi presunti strumenti open source, impossessandosi di segreti, portafogli di criptovalute, chiavi Secure Shell (SSH) e altri dati rilevanti.
I pacchetti infetti di Trapdoor cercano anche di sfruttare gli strumenti di IA per collaborare al loro attacco, utilizzando file di direttiva per ingannare gli strumenti di codifica IA affinché eseguano una scansione di sicurezza ed esfiltrino dati altamente sensibili.
Socket ha affermato che, sebbene questa tecnica non possa funzionare in modo coerente su tutti gli strumenti e i modelli di IA, la sua presenza dimostra che gli aggressori "stanno sperimentando attivamente gli ambienti di sviluppo dell'IA come parte delle campagne di malware della catena di approvvigionamento".
Gli attacchi a catena stanno diventando sempre più comuni. A settembre, la comunità delle criptovalute è stata allertata in merito a un attacco simile, in cui diversi pacchetti utilizzati dai portafogli di criptovalute sono stati compromessi e modificati per rubare fondi in criptovaluta da portafogli contenenti bitcoin, ether e solana, tra le altre risorse digitali.
