Onderzoekers van Soclet hebben een nieuwe supply-aanval ontdekt die gericht is op crypto-ontwikkelaars die gebruikmaken van npm-, PyPI- en Crates.io-pakketten. De campagne, die de naam Trapdoor heeft gekregen, is erop gericht cryptowallet-sleutels en andere vertrouwelijke gegevens van ontwikkelaars in de cryptowereld te stelen.
Trapdoor-malware: de grootschalige aanval op de toeleveringsketen gericht tegen crypto-ontwikkelaars
GESCHREVEN DOOR
DELEN
Belangrijkste punten
- Op 22 mei ontdekte Soclet dat Trapdoor-malware 34 ontwikkelaarspakketten had geïnfecteerd om cryptowallets en sleutels te stelen.
- De campagne, die 384 versies omvat, misleidt AI-tools en heeft ernstige gevolgen voor de ontwikkelingsmarkt.
- Na een soortgelijke aanval in september waarschuwt Soclet dat ontwikkelaars hun AI-omgevingen moeten beveiligen tegen cryptodiefstal.
Supply Chain-aanval Trapdoor richt zich op ontwikkelaars voor maximale prestaties
Terwijl sommige malwarecampagnes zich richten op gewone cryptogebruikers, richten andere zich op ontwikkelaars, met als doel doelwitten te vangen die een grotere kans hebben om grote hoeveelheden cryptovaluta te bezitten en toegang te hebben tot bredere middelen.
Onderzoekers bij Socket, een bedrijf dat gespecialiseerd is in het voorkomen van supply chain-aanvallen, hebben een brede campagne geïdentificeerd die zich richt op crypto-ontwikkelaars met behulp van geïnfecteerde pakketten op npm, PyPI en Crates.io.
De aanval op de toeleveringsketen, die de naam Trapdoor kreeg, omvat 34 pakketten in deze ontwikkelomgevingen, met in totaal meer dan 384 versies, waarvan sommige nog steeds beschikbaar zijn. Socket meldde dat de getroffen pakketten vanaf 22 mei in golven werden gepubliceerd en vervolgens gedurende het daaropvolgende weekend werden bijgewerkt.
De pakketten vielen op vanwege hun aard, aangezien ze naar verluidt generieke ontwikkelaarstools vertegenwoordigden en in snel tempo achter elkaar in verschillende registers verschenen. Dit geeft de campagne "een breed bereik in aangrenzende ontwikkelaarsgemeenschappen waar crypto-wallets, cloud-inloggegevens, Github-tokens en SSH-sleutels waarschijnlijk aanwezig zijn", zo concludeerde Socket.
De geïnfecteerde pakketten dringen de ontwikkelomgeving van crypto-ontwikkelaars binnen, maken gebruik van deze vermeende open-source-tools en bemachtigen geheimen, crypto-wallets, Secure Shell (SSH)-sleutels en andere relevante gegevens.
Met Trapdoor geïnfecteerde pakketten proberen ook gebruik te maken van AI-tools om hun aanval te ondersteunen, waarbij ze directive-bestanden gebruiken om AI-codeertools te misleiden om een beveiligingsscan uit te voeren en zeer gevoelige gegevens te exfiltreren.
Socket verklaarde dat hoewel deze techniek niet consistent zou werken in alle AI-tools en -modellen, de aanwezigheid ervan aantoont dat aanvallers "actief experimenteren met AI-ontwikkelomgevingen als onderdeel van malware-campagnes in de toeleveringsketen."
Keten-aanvallen komen steeds vaker voor. In september werd de cryptogemeenschap gewaarschuwd voor een soortgelijke hack, waarbij verschillende pakketten die door crypto-wallets worden gebruikt, werden gecompromitteerd en aangepast om cryptovaluta te stelen uit wallets die onder andere bitcoin, ether en solana bevatten.
Google: Noord-Korea Gebruikt Blockchain om Malware te Verspreiden
Ontdek de innovatieve strategie waarmee Noord-Korea malware verbergt binnen slimme contracten op openbare blockchains. read more.
Lees nu
Google: Noord-Korea Gebruikt Blockchain om Malware te Verspreiden
Ontdek de innovatieve strategie waarmee Noord-Korea malware verbergt binnen slimme contracten op openbare blockchains. read more.
Lees nuGoogle: Noord-Korea Gebruikt Blockchain om Malware te Verspreiden
Lees nuOntdek de innovatieve strategie waarmee Noord-Korea malware verbergt binnen slimme contracten op openbare blockchains. read more.
