Penyiasat di Soclet telah menemui serangan rantaian bekalan baharu yang menyasarkan pembangun kripto menggunakan pakej npm, PyPI dan Crates.io. Kempen yang digelar Trapdoor ini menumpukan kepada pencurian kunci dompet kripto dan rahsia lain daripada pembangun dalam ruang kripto.
Perisian Hasad Trapdoor: Serangan Rantaian Bekalan Berskala Besar yang Menyasarkan Pembangun Kripto
DITULIS OLEH
KONGSI
Intipati Utama
- Pada 22 Mei, Socket menemui perisian hasad Trapdoor menjangkiti 34 pakej pembangun untuk mencuri dompet dan kunci kripto.
- Merangkumi 384 versi, kempen ini memperdaya alat AI dan memberi kesan teruk kepada pasaran pembangunan.
- Selepas serangan serupa pada September, Socket memberi amaran bahawa pembangun seterusnya mesti melindungi persekitaran AI daripada kecurian kripto.
Skim Serangan Rantaian Bekalan Trapdoor Menyasarkan Pembangun Untuk Prestasi Maksimum
Walaupun sesetengah kempen perisian hasad menyasarkan pengguna kripto harian, yang lain menumpukan pada pembangun, dengan tujuan menangkap sasaran yang mempunyai kebarangkalian lebih tinggi untuk memegang sejumlah besar mata wang kripto serta mempunyai akses kepada sumber yang lebih luas.
Penyelidik di Socket, sebuah syarikat yang mengkhusus dalam pencegahan serangan rantaian bekalan, telah mengenal pasti kempen berskala besar yang menyasarkan pembangun kripto menggunakan pakej dijangkiti merentasi npm, PyPI dan Crates.io.
Digelar Trapdoor, serangan rantaian bekalan ini merentasi 34 pakej di seluruh persekitaran pembangunan ini, merangkumi lebih 384 versi, dengan sebahagiannya masih tersedia. Socket melaporkan bahawa pakej yang terjejas diterbitkan secara berombak bermula pada 22 Mei dan kemudian dikemas kini sepanjang hujung minggu berikutnya.
Pakej tersebut menonjol kerana sifatnya, kerana ia didakwa mewakili alat pembangun generik dan muncul berturut-turut dengan cepat merentasi pendaftaran yang berbeza. Ini memberikan kempen itu “jangkauan luas merentasi komuniti pembangun bersebelahan di mana dompet kripto, kelayakan awan, token Github, dan kunci SSH berkemungkinan hadir,” menurut penilaian Socket.
Pakej yang dijangkiti menceroboh persekitaran pembangunan pembangun kripto, memanfaatkan alat sumber terbuka yang didakwa ini, untuk mendapatkan pegangan ke atas rahsia, dompet kripto, kunci secure shell (SSH), dan data berkaitan lain.
Pakej yang dijangkiti Trapdoor juga cuba memanfaatkan alat AI untuk bekerjasama dengan serangan mereka, menggunakan fail arahan untuk memperdaya alat pengekodan AI supaya menjalankan imbasan keselamatan dan mengekstrak data yang sangat sensitif.
Socket menyatakan bahawa walaupun teknik ini tidak dapat berfungsi secara konsisten merentasi semua alat dan model AI, kewujudannya menunjukkan bahawa penyerang “sedang giat bereksperimen dengan persekitaran pembangunan AI sebagai sebahagian daripada kempen perisian hasad rantaian bekalan.”
Serangan rantaian semakin menjadi-jadi. Pada September, komuniti kripto telah diberi amaran tentang penggodaman serupa, dengan beberapa pakej yang digunakan oleh dompet kripto telah dikompromi dan diubah suai untuk mencuri dana mata wang kripto daripada dompet yang mengandungi bitcoin, ether dan solana, antara aset digital lain.
