トラップドア型マルウェア：暗号資産開発者を標的とした大規模なサプライチェーン攻撃

サプライチェーン攻撃の手口「Trapdoor」は、最大の成果を得るために開発者を標的にしています。

一部のマルウェアキャンペーンが一般の暗号資産ユーザーを標的とする一方で、他のキャンペーンは開発者に焦点を当て、多額の暗号資産を保有し、より広範なリソースへのアクセス権を持つ可能性が高いターゲットを捕捉することを狙っています。

サプライチェーン攻撃の防止を専門とする企業Socketの研究者は、npm、PyPI、Crates.ioに感染したパッケージを流布させ、暗号資産開発者を標的とした大規模なキャンペーンを特定しました。

「Trapdoor」と名付けられたこのサプライチェーン攻撃は、これら開発環境にまたがる34のパッケージに及び、384以上のバージョンを網羅しており、一部は現在も利用可能な状態にあります。Socketの報告によると、影響を受けたパッケージは5月22日から段階的に公開され、その後の週末にかけて更新が行われました。

これらのパッケージは一般的な開発者ツールを装い、異なるレジストリで立て続けに公開されたため、特に目立っていました。Socketは「このキャンペーンは、暗号資産ウォレット、クラウド認証情報、GitHubトークン、SSHキーが存在する可能性が高い隣接する開発者コミュニティ全体に広範な影響を及ぼす」と分析しています。

感染したパッケージはこれらのオープンソースツールを装い、暗号通貨開発者の開発環境に侵入して機密情報、暗号通貨ウォレット、セキュアシェル（SSH）キー、その他の関連データを盗み取ります。

Trapdoorに感染したパッケージはAIツールを攻撃に組み込もうとも試みており、ディレクティブファイルを使用してAIコーディングツールを欺き、セキュリティスキャンを実行させて機密性の高いデータを外部へ流出させようとします。

Socketは、この手法がすべてのAIツールやモデルで一貫して機能するわけではないものの、その存在は、攻撃者が「サプライチェーンマルウェアキャンペーンの一環として、AI開発環境を積極的に実験している」ことを示していると述べました。

サプライチェーン攻撃はますます一般的になりつつあります。9月には暗号資産コミュニティに対し、同様のハッキングに関する警告が発せられました。この攻撃では暗号資産ウォレットで使用される複数のパッケージが侵害・改変され、ビットコイン、イーサ、ソラナなどのデジタル資産を含むウォレットから資金が盗み出されました。