Etterforskere hos Socket har oppdaget et nytt forsyningskjedeangrep som retter seg mot kryptoutviklere ved bruk av pakker fra npm, PyPI og Crates.io. Kampanjen, døpt Trapdoor, fokuserer på å stjele kryptolommeboknøkler og andre hemmeligheter fra utviklere i kryptomiljøet.
Trapdoor Malware: Det massive forsyningskjedeangrepet som retter seg mot kryptoutviklere
SKREVET AV
DEL
Viktige poeng
- 22. mai fant Socket Trapdoor-malware som infiserte 34 utviklerpakker for å stjele kryptolommebøker og nøkler.
- Kampanjen spenner over 384 versjoner, lurer AI-verktøy og påvirker utviklingsmarkedet kraftig.
- Etter et lignende angrep i september advarer Socket om at utviklere neste gang må sikre AI-miljøer mot kryptotyveri.
Forsyningskjedeangrepet Trapdoor retter seg mot utviklere for maksimal effekt
Mens noen malwarekampanjer retter seg mot vanlige kryptobrukere, fokuserer andre på utviklere, med mål om å treffe mål med større sannsynlighet for å holde store mengder kryptovaluta og ha tilgang til bredere ressurser.
Forskere hos Socket, et selskap som spesialiserer seg på å forhindre forsyningskjedeangrep, har identifisert en omfattende kampanje som retter seg mot kryptoutviklere ved å bruke infiserte pakker på tvers av npm, PyPI og Crates.io.
Forsyningskjedeangrepet, kalt Trapdoor, omfatter 34 pakker på tvers av disse utviklingsmiljøene og inkluderer over 384 versjoner, hvorav noen fortsatt er tilgjengelige. Socket rapporterte at de berørte pakkene ble publisert i bølger fra og med 22. mai, og deretter ble oppdatert gjennom den påfølgende helgen.
Pakkene skilte seg ut på grunn av sin natur, ettersom de angivelig representerte generiske utviklerverktøy og dukket opp i rask rekkefølge på tvers av ulike registre. Dette gir kampanjen «bred rekkevidde på tvers av tilstøtende utviklerfellesskap der kryptolommebøker, skylegitimasjon, Github-tokens og SSH-nøkler sannsynligvis er til stede», vurderte Socket.
De infiserte pakkene invaderer utviklingsmiljøet til kryptoutviklere ved å utnytte disse angivelige åpen kildekode-verktøyene, og får tak i hemmeligheter, kryptolommebøker, secure shell (SSH)-nøkler og andre relevante data.
Trapdoor-infiserte pakker forsøker også å utnytte AI-verktøy til å samarbeide med angrepet ved å bruke direktivfiler for å lure AI-kodeverktøy til å kjøre en sikkerhetsskanning og eksfiltrere svært sensitive data.
Socket uttalte at selv om denne teknikken ikke kunne fungere konsekvent på tvers av alle AI-verktøy og -modeller, viser dens tilstedeværelse at angripere «aktivt eksperimenterer med AI-utviklingsmiljøer som en del av malwarekampanjer i forsyningskjeden.»
Angrep i forsyningskjeden blir stadig vanligere. I september ble kryptomiljøet varslet om et lignende hack, der flere pakker brukt av kryptolommebøker ble kompromittert og endret for å stjele kryptovalutamidler fra lommebøker som inneholdt blant annet bitcoin, ether og solana, i tillegg til andre digitale eiendeler.
