Badacze z firmy Soclet odkryli nowy rodzaj ataku typu „supply attack”, wymierzony w programistów kryptowalutowych korzystających z pakietów npm, PyPI i Crates.io. Kampania, nazwana „Trapdoor”, skupia się na kradzieży kluczy do portfeli kryptowalutowych oraz innych poufnych danych od programistów działających w branży kryptowalutowej.
Oprogramowanie złośliwe typu „trapdoor”: potężny atak na łańcuch dostaw wymierzony w twórców oprogramowania kryptowalutowego
NAPISAŁ
UDOSTĘPNIJ
Najważniejsze wnioski
- 22 maja firma Soclet wykryła złośliwe oprogramowanie Trapdoor, które zainfekowało 34 pakiety programistyczne w celu kradzieży portfeli kryptowalutowych i kluczy.
- Kampania, obejmująca 384 wersje, oszukuje narzędzia AI i ma poważny wpływ na rynek programistyczny.
- Po podobnym ataku we wrześniu firma Soclet ostrzega programistów, że muszą zabezpieczyć środowiska AI przed kradzieżą kryptowalut.
Schemat ataku na łańcuch dostaw Trapdoor atakuje programistów w celu uzyskania maksymalnej wydajności
Podczas gdy niektóre kampanie złośliwego oprogramowania są skierowane do zwykłych użytkowników kryptowalut, inne skupiają się na programistach, mając na celu przejęcie celów, które z większym prawdopodobieństwem posiadają duże ilości kryptowalut i mają dostęp do szerszych zasobów.
Badacze z firmy Socket, specjalizującej się w zapobieganiu atakom na łańcuch dostaw, zidentyfikowali szeroko zakrojoną kampanię wymierzoną w programistów kryptowalut, wykorzystującą zainfekowane pakiety w serwisach npm, PyPI i Crates.io.
Nazwany Trapdoor atak na łańcuch dostaw obejmuje 34 pakiety w tych środowiskach programistycznych, obejmując ponad 384 wersje, z których część jest nadal dostępna. Firma Socket poinformowała, że zainfekowane pakiety były publikowane falami, począwszy od 22 maja, a następnie aktualizowane przez cały następny weekend.
Pakiety wyróżniały się ze względu na swój charakter, ponieważ rzekomo stanowiły ogólne narzędzia programistyczne i pojawiały się w krótkich odstępach czasu w różnych rejestrach. Dzięki temu kampania ma „szeroki zasięg w sąsiednich społecznościach programistów, w których prawdopodobnie występują portfele kryptowalutowe, poświadczenia chmurowe, tokeny Github i klucze SSH” – oceniła firma Socket.
Zainfekowane pakiety atakują środowisko programistów kryptowalut, wykorzystując te rzekome narzędzia open source, przejmując poufne informacje, portfele kryptowalutowe, klucze SSH i inne istotne dane.
Pakiety zainfekowane przez Trapdoor próbują również wykorzystać narzędzia AI do współpracy przy ataku, używając plików dyrektyw, aby nakłonić narzędzia do kodowania AI do przeprowadzenia skanowania bezpieczeństwa i wykradzenia bardzo wrażliwych danych.
Socket stwierdził, że chociaż technika ta nie działała spójnie we wszystkich narzędziach i modelach AI, jej obecność pokazuje, że atakujący „aktywnie eksperymentują ze środowiskami programistycznymi AI w ramach kampanii złośliwego oprogramowania w łańcuchu dostaw”.
Ataki łańcuchowe stają się coraz bardziej powszechne. We wrześniu społeczność kryptowalutowa została ostrzeżona o podobnym ataku hakerskim, w wyniku którego kilka pakietów używanych przez portfele kryptowalutowe zostało naruszonych i zmodyfikowanych w celu kradzieży środków kryptowalutowych z portfeli zawierających między innymi bitcoiny, ether i solanę.
Google: Korea Północna wykorzystuje blockchain do dystrybucji złośliwego oprogramowania
Odkryj innowacyjną strategię, która sprawia, że Korea Północna ukrywa złośliwe oprogramowanie wewnątrz inteligentnych kontraktów na publicznych blockchainach. read more.
Czytaj teraz
Google: Korea Północna wykorzystuje blockchain do dystrybucji złośliwego oprogramowania
Odkryj innowacyjną strategię, która sprawia, że Korea Północna ukrywa złośliwe oprogramowanie wewnątrz inteligentnych kontraktów na publicznych blockchainach. read more.
Czytaj terazGoogle: Korea Północna wykorzystuje blockchain do dystrybucji złośliwego oprogramowania
Czytaj terazOdkryj innowacyjną strategię, która sprawia, że Korea Północna ukrywa złośliwe oprogramowanie wewnątrz inteligentnych kontraktów na publicznych blockchainach. read more.
