Investigadores da Soclet descobriram um novo ataque de cadeia de suprimentos direcionado a desenvolvedores de criptomoedas que utilizam pacotes do npm, PyPI e Crates.io. A campanha, batizada de Trapdoor, tem como objetivo roubar chaves de carteiras de criptomoedas e outras informações confidenciais de desenvolvedores do setor de criptomoedas.
Malware Trapdoor: o ataque em grande escala à cadeia de suprimentos que tem como alvo desenvolvedores de criptomoedas
ESCRITO POR
PARTILHAR
Principais conclusões
- Em 22 de maio, a Soclet descobriu que o malware Trapdoor infectou 34 pacotes de desenvolvedores para roubar carteiras e chaves de criptomoedas.
- Abrangendo 384 versões, a campanha engana ferramentas de IA e causa um grave impacto no mercado de desenvolvimento.
- Após um ataque semelhante em setembro, a Soclet alerta que os desenvolvedores devem, em seguida, proteger os ambientes de IA contra roubos de criptomoedas.
Esquema de ataque à cadeia de suprimentos: Trapdoor tem como alvo desenvolvedores para obter o máximo desempenho
Enquanto algumas campanhas de malware têm como alvo usuários comuns de criptomoedas, outras se concentram em desenvolvedores, com o objetivo de capturar alvos com maior probabilidade de possuir grandes quantidades de criptomoedas e ter acesso a recursos mais amplos.
Pesquisadores da Socket, empresa especializada na prevenção de ataques à cadeia de suprimentos, identificaram uma ampla campanha direcionada a desenvolvedores de criptomoedas usando pacotes infectados no npm, PyPI e Crates.io.
Batizado de Trapdoor, o ataque à cadeia de suprimentos abrange 34 pacotes nesses ambientes de desenvolvimento, englobando mais de 384 versões, com algumas ainda disponíveis. A Socket informou que os pacotes afetados foram publicados em ondas a partir de 22 de maio e, em seguida, foram atualizados ao longo do fim de semana seguinte.
Os pacotes se destacaram devido à sua natureza, pois supostamente representavam ferramentas genéricas de desenvolvimento e apareceram em rápida sucessão em diferentes registros. Isso dá à campanha “amplo alcance em comunidades de desenvolvedores adjacentes, onde carteiras de criptomoedas, credenciais de nuvem, tokens do Github e chaves SSH provavelmente estão presentes”, avaliou a Socket.
Os pacotes infectados invadem o ambiente de desenvolvimento de desenvolvedores de criptomoedas, aproveitando essas supostas ferramentas de código aberto, obtendo segredos, carteiras de criptomoedas, chaves Secure Shell (SSH) e outros dados relevantes.
Os pacotes infectados com Trapdoor também tentam aproveitar ferramentas de IA para colaborar com seu ataque, usando arquivos de diretiva para enganar ferramentas de codificação de IA a executar uma verificação de segurança e extrair dados altamente confidenciais.
A Socket afirmou que, embora essa técnica não funcione de maneira consistente em todas as ferramentas e modelos de IA, sua presença mostra que os invasores “estão experimentando ativamente ambientes de desenvolvimento de IA como parte de campanhas de malware na cadeia de suprimentos”.
Ataques em cadeia estão se tornando mais comuns. Em setembro, a comunidade de criptomoedas foi alertada sobre um hack semelhante, com vários pacotes usados por carteiras de criptomoedas sendo comprometidos e modificados para roubar fundos de criptomoedas de carteiras contendo bitcoin, ether e solana, entre outros ativos digitais.
Google: Coreia do Norte usa blockchain para distribuir malware
Descubra a estratégia inovadora que faz com que a Coreia do Norte oculte malware dentro de contratos inteligentes em blockchains públicas. read more.
Leia agora
Google: Coreia do Norte usa blockchain para distribuir malware
Descubra a estratégia inovadora que faz com que a Coreia do Norte oculte malware dentro de contratos inteligentes em blockchains públicas. read more.
Leia agoraGoogle: Coreia do Norte usa blockchain para distribuir malware
Leia agoraDescubra a estratégia inovadora que faz com que a Coreia do Norte oculte malware dentro de contratos inteligentes em blockchains públicas. read more.
