Výskumníci zo spoločnosti Soclet odhalili nový útok typu „supply attack“, ktorý sa zameriava na vývojárov kryptomien využívajúcich balíčky npm, PyPI a Crates.io. Kampaň s názvom Trapdoor sa zameriava na krádež kľúčov od kryptomenových peňaženiek a ďalších citlivých údajov od vývojárov v oblasti kryptomien.
Malvér Trapdoor: Rozsiahly útok na dodávateľský reťazec zameraný na vývojárov kryptomien
NAPÍSAL
ZDIEĽAŤ
Kľúčové body
- 22. mája spoločnosť Socket zistila, že malvér Trapdoor infikoval 34 balíkov pre vývojárov s cieľom ukradnúť kryptomenové peňaženky a kľúče.
- Kampaň, ktorá sa týka 384 verzií, oklame nástroje umelej inteligencie a má vážny dopad na trh vývoja.
- Po podobnom útoku v septembri spoločnosť Socket varuje, že vývojári musia v budúcnosti zabezpečiť prostredia umelej inteligencie pred krádežou kryptomien.
Schéma útoku na dodávateľský reťazec Trapdoor sa zameriava na vývojárov s cieľom dosiahnuť maximálny výkon
Zatiaľ čo niektoré kampane s malvérom sa zameriavajú na bežných používateľov kryptomien, iné sa zameriavajú na vývojárov s cieľom zachytiť ciele s vyššou pravdepodobnosťou, že vlastnia veľké množstvo kryptomien a majú prístup k širším zdrojom.
Výskumníci zo spoločnosti Socket, ktorá sa špecializuje na prevenciu útokov na dodávateľský reťazec, identifikovali rozsiahlu kampaň zameranú na vývojárov kryptomien, ktorá využíva infikované balíky v prostrediach npm, PyPI a Crates.io.
Útok na dodávateľský reťazec s názvom Trapdoor sa týka 34 balíkov v týchto vývojárskych prostrediach a zahŕňa viac ako 384 verzií, z ktorých niektoré sú stále dostupné. Spoločnosť Socket uviedla, že postihnuté balíky boli zverejnené v niekoľkých vlnách počnúc 22. májom a následne boli aktualizované počas nasledujúceho víkendu.
Balíčky vynikli svojou povahou, keďže údajne predstavovali generické vývojárske nástroje a objavovali sa v rýchlom slede v rôznych registroch. To dáva kampani „široký dosah v susedných vývojárskych komunitách, kde sa pravdepodobne nachádzajú krypto peňaženky, cloudové prihlasovacie údaje, tokeny Github a kľúče SSH,“ zhodnotila spoločnosť Socket.
Infikované balíky prenikajú do vývojárskeho prostredia vývojárov kryptomien, využívajú tieto údajné open-source nástroje a zmocňujú sa tajných informácií, krypto peňaženiek, kľúčov Secure Shell (SSH) a iných relevantných údajov.
Balíky infikované Trapdoorom sa tiež snažia využiť nástroje umelej inteligencie na spoluprácu pri útoku, pričom používajú direktívne súbory na oklamanie nástrojov na kódovanie umelej inteligencie, aby spustili bezpečnostnú kontrolu a exfiltrovali vysoko citlivé údaje.
Socket uviedol, že hoci táto technika nemusí fungovať konzistentne vo všetkých nástrojoch a modeloch umelej inteligencie, jej prítomnosť ukazuje, že útočníci „aktívne experimentujú s vývojovými prostrediami umelej inteligencie ako súčasťou malvérových kampaní v dodávateľskom reťazci“.
Reťazové útoky sa stávajú čoraz bežnejšími. V septembri bola kryptokomunita upozornená na podobný útok, pri ktorom bolo niekoľko balíkov používaných krypto peňaženkami kompromitovaných a upravených tak, aby ukradli kryptomenové prostriedky z peňaženiek obsahujúcich okrem iných digitálnych aktív aj bitcoiny, ether a solanu.
