Forskare vid Soclet har upptäckt en ny attack av typen ”supply chain” som riktar sig mot kryptoutvecklare som använder paket från npm, PyPI och Crates.io. Kampanjen, som fått namnet Trapdoor, syftar till att stjäla nycklar till kryptoplånböcker och annan känslig information från utvecklare inom kryptovärlden.
Trapdoor-skadlig programvara: Den omfattande attacken mot kryptoutvecklare via leverantörskedjan
SKRIVEN AV
DELA
Viktiga punkter
- Den 22 maj upptäckte Soclet att skadlig programvara från Trapdoor infekterat 34 utvecklarpaket för att stjäla kryptoplånböcker och nycklar.
- Kampanjen omfattar 384 versioner, lurar AI-verktyg och påverkar utvecklingsmarknaden allvarligt.
- Efter en liknande attack i september varnar Soclet utvecklare för att de måste säkra AI-miljöer mot kryptostöld.
Supply Chain Attack Scheme Trapdoor riktar in sig på utvecklare för maximal prestanda
Medan vissa malware-kampanjer riktar sig mot vanliga kryptoanvändare, fokuserar andra på utvecklare, med målet att fånga mål med större sannolikhet att inneha stora mängder kryptovaluta och ha tillgång till bredare resurser.
Forskare vid Socket, ett företag som specialiserar sig på att förebygga supply chain-attacker, har identifierat en omfattande kampanj riktad mot kryptoutvecklare som använder infekterade paket på npm, PyPI och Crates.io.
Denna attack mot leveranskedjan, som kallas Trapdoor, omfattar 34 paket i dessa utvecklingsmiljöer, med över 384 versioner, varav vissa fortfarande är tillgängliga. Socket rapporterade att de drabbade paketen publicerades i omgångar med start den 22 maj och sedan uppdaterades under helgen därefter.
Paketen stack ut på grund av sin natur, eftersom de påstods representera generiska utvecklingsverktyg och dök upp i snabb följd i olika register. Detta ger kampanjen ”bred räckvidd över angränsande utvecklingsgemenskaper där kryptoplånböcker, molnautentiseringsuppgifter, Github-tokens och SSH-nycklar sannolikt finns”, bedömde Socket.
De infekterade paketen invaderar kryptoutvecklarnas utvecklingsmiljö, utnyttjar dessa påstådda open source-verktyg och tar kontroll över hemligheter, kryptoplånböcker, SSH-nycklar och andra relevanta data.
Trapdoor-infekterade paket försöker också utnyttja AI-verktyg för att samverka med sin attack, genom att använda direktivfiler för att lura AI-kodningsverktyg att köra en säkerhetsskanning och exfiltrera mycket känslig data.
Socket konstaterade att även om denna teknik inte fungerar konsekvent i alla AI-verktyg och modeller, visar dess förekomst att angripare "aktivt experimenterar med AI-utvecklingsmiljöer som en del av malware-kampanjer i leveranskedjan".
Kedjeattacker blir allt vanligare. I september varnades kryptosamhället om en liknande hackning, där flera paket som används av kryptoplånböcker komprometterades och modifierades för att stjäla kryptovalutamedel från plånböcker som innehöll bland annat bitcoin, ether och solana.
