Cercetătorii de la Soclet au descoperit un nou atac de tip „supply chain” care vizează dezvoltatorii din domeniul criptomonedelor care utilizează pachete npm, PyPI și Crates.io. Campania, denumită „Trapdoor”, are ca scop furtul cheilor de portofel criptografic și a altor informații confidențiale de la dezvoltatorii din sectorul criptomonedelor.
Malware-ul „Trapdoor”: atacul masiv asupra lanțului de aprovizionare care vizează dezvoltatorii de criptomonede
SCRIS DE
DISTRIBUIE
Concluzii cheie
- Pe 22 mai, Socket a descoperit malware-ul Trapdoor care a infectat 34 de pachete pentru dezvoltatori pentru a fura portofele și chei criptografice.
- Cuprinzând 384 de versiuni, campania păcălește instrumentele de IA și afectează grav piața de dezvoltare.
- După un atac similar din septembrie, Socket avertizează că dezvoltatorii trebuie să securizeze mediile de IA împotriva furtului de criptomonede.
Schema de atac asupra lanțului de aprovizionare Trapdoor vizează dezvoltatorii pentru performanțe maxime
În timp ce unele campanii de malware vizează utilizatorii obișnuiți de criptomonede, altele se concentrează pe dezvoltatori, urmărind să captureze ținte cu o probabilitate mai mare de a deține sume mari de criptomonede și de a avea acces la resurse mai ample.
Cercetătorii de la Socket, o companie specializată în prevenirea atacurilor asupra lanțului de aprovizionare, au identificat o campanie amplă care vizează dezvoltatorii de criptomonede folosind pachete infectate pe npm, PyPI și Crates.io.
Denumit Trapdoor, atacul asupra lanțului de aprovizionare se întinde pe 34 de pachete din aceste medii de dezvoltare, cuprinzând peste 384 de versiuni, unele dintre ele fiind încă disponibile. Socket a raportat că pachetele afectate au fost publicate în valuri începând cu 22 mai și apoi au fost actualizate pe parcursul weekendului următor.
Pachetele s-au remarcat datorită naturii lor, deoarece ar fi reprezentat instrumente generice de dezvoltare și au apărut în succesiune rapidă în diferite registre. Acest lucru conferă campaniei „o acoperire largă în comunitățile de dezvoltatori adiacente, unde este probabil să existe portofele criptografice, credențiale cloud, token-uri Github și chei SSH”, a evaluat Socket.
Pachetele infectate invadează mediul de dezvoltare al dezvoltatorilor de criptomonede, folosindu-se de aceste presupuse instrumente open-source, preluând controlul asupra secretelor, portofelelor de criptomonede, cheilor Secure Shell (SSH) și altor date relevante.
Pachetele infectate cu Trapdoor încearcă, de asemenea, să utilizeze instrumente de IA pentru a colabora la atacul lor, folosind fișiere directive pentru a păcăli instrumentele de codare IA să execute o scanare de securitate și să sustragă date extrem de sensibile.
Socket a declarat că, deși această tehnică nu ar putea funcționa în mod consecvent în toate instrumentele și modelele de IA, prezența sa arată că atacatorii „experimentează în mod activ cu medii de dezvoltare IA ca parte a campaniilor de malware din lanțul de aprovizionare”.
Atacurile în lanț devin din ce în ce mai frecvente. În septembrie, comunitatea criptografică a fost alertată cu privire la un atac similar, în care mai multe pachete utilizate de portofelele criptografice au fost compromise și modificate pentru a fura fonduri în criptomonede din portofele care conțineau bitcoin, ether și solana, printre alte active digitale.
