นักสืบสวนของ Soclet ได้ค้นพบการโจมตีซัพพลายเชนรูปแบบใหม่ที่มุ่งเป้าไปที่นักพัฒนาคริปโต โดยใช้แพ็กเกจบน npm, PyPI และ Crates.io แคมเปญนี้ถูกขนานนามว่า Trapdoor และมุ่งเน้นการขโมยคีย์กระเป๋าเงินคริปโตและความลับอื่นๆ จากนักพัฒนาในวงการคริปโต
มัลแวร์ Trapdoor: การโจมตีซัพพลายเชนครั้งใหญ่ที่มุ่งเป้าไปที่นักพัฒนาคริปโต
เขียนโดย
แชร์
ประเด็นสำคัญ
- เมื่อวันที่ 22 พฤษภาคม Socket พบมัลแวร์ Trapdoor แพร่เชื้อในแพ็กเกจสำหรับนักพัฒนา 34 รายการเพื่อขโมยกระเป๋าเงินคริปโตและคีย์ต่างๆ
- ครอบคลุม 384 เวอร์ชัน แคมเปญนี้หลอกเครื่องมือ AI และส่งผลกระทบอย่างรุนแรงต่อตลาดการพัฒนา
- หลังการโจมตีที่คล้ายกันในเดือนกันยายน Socket เตือนว่านักพัฒนาจำเป็นต้องทำให้สภาพแวดล้อม AI ปลอดภัยจากการขโมยคริปโตเป็นลำดับถัดไป
แผนการโจมตีซัพพลายเชน Trapdoor มุ่งเป้านักพัฒนาเพื่อประสิทธิภาพสูงสุด
แม้บางแคมเปญมัลแวร์จะมุ่งเป้าไปที่ผู้ใช้คริปโตทั่วไป แต่อีกหลายแคมเปญกลับโฟกัสที่นักพัฒนา โดยมีเป้าหมายเพื่อจับเหยื่อที่มีโอกาสถือครองคริปโตจำนวนมากและเข้าถึงทรัพยากรที่กว้างกว่า
นักวิจัยจาก Socket บริษัทที่เชี่ยวชาญด้านการป้องกันการโจมตีซัพพลายเชน ได้ระบุแคมเปญขนาดใหญ่ที่มุ่งเป้านักพัฒนาคริปโตผ่านแพ็กเกจติดเชื้อบน npm, PyPI และ Crates.io
การโจมตีซัพพลายเชนนี้ถูกขนานนามว่า Trapdoor ครอบคลุมแพ็กเกจ 34 รายการในสภาพแวดล้อมการพัฒนาเหล่านี้ รวมมากกว่า 384 เวอร์ชัน โดยบางรายการยังคงมีให้ใช้งาน Socket รายงานว่าแพ็กเกจที่ได้รับผลกระทบถูกเผยแพร่เป็นระลอกเริ่มตั้งแต่วันที่ 22 พฤษภาคม และจากนั้นถูกอัปเดตต่อเนื่องตลอดสุดสัปดาห์ถัดมา
แพ็กเกจเหล่านี้โดดเด่นด้วยลักษณะของมัน เนื่องจากถูกกล่าวอ้างว่าเป็นเครื่องมือสำหรับนักพัฒนาแบบทั่วไป และปรากฏขึ้นต่อเนื่องอย่างรวดเร็วในหลายรีจิสทรี ซึ่งทำให้แคมเปญนี้มี “การเข้าถึงในวงกว้างไปยังชุมชนนักพัฒนาที่อยู่ใกล้เคียงกัน ซึ่งมีแนวโน้มว่าจะมีทั้งกระเป๋าเงินคริปโต ข้อมูลรับรองคลาวด์ โทเคน Github และคีย์ SSH อยู่” ตามการประเมินของ Socket
แพ็กเกจที่ติดเชื้อแทรกซึมเข้าไปในสภาพแวดล้อมการพัฒนาของนักพัฒนาคริปโต โดยอาศัยเครื่องมือโอเพนซอร์สที่ถูกกล่าวอ้างเหล่านี้ เพื่อยึดครองความลับ กระเป๋าเงินคริปโต คีย์ secure shell (SSH) และข้อมูลสำคัญอื่นๆ
แพ็กเกจที่ติดเชื้อ Trapdoor ยังพยายามใช้ประโยชน์จากเครื่องมือ AI ให้ร่วมมือกับการโจมตี โดยใช้ไฟล์คำสั่งเพื่อหลอกเครื่องมือเขียนโค้ดด้วย AI ให้รันการสแกนความปลอดภัยและส่งข้อมูลที่มีความอ่อนไหวสูงออกไป
Socket ระบุว่าแม้เทคนิคนี้อาจใช้ไม่ได้อย่างสม่ำเสมอกับเครื่องมือและโมเดล AI ทุกประเภท แต่การมีอยู่ของมันแสดงให้เห็นว่า ผู้โจมตี “กำลังทดลองใช้งานสภาพแวดล้อมการพัฒนาด้วย AI อย่างจริงจังในฐานะส่วนหนึ่งของแคมเปญมัลแวร์ซัพพลายเชน”
การโจมตีซัพพลายเชนกำลังเกิดขึ้นบ่อยขึ้น ในเดือนกันยายน ชุมชนคริปโตได้รับการแจ้งเตือนเกี่ยวกับการแฮ็กที่คล้ายกัน โดยมีหลายแพ็กเกจที่กระเป๋าเงินคริปโตใช้งานถูกเจาะและแก้ไขเพื่อขโมยเงินคริปโตจากกระเป๋าที่มีบิตคอยน์ อีเธอร์ และโซลานา รวมถึงสินทรัพย์ดิจิทัลอื่นๆ
Google: เกาหลีเหนือใช้บล็อกเชนเพื่อกระจายมัลแวร์
ค้นพบกลยุทธ์ที่เป็นนวัตกรรมที่เกาหลีเหนือใช้ซ่อนมัลแวร์ภายในสัญญาอัจฉริยะบนบล็อกเชนสาธารณะ read more.
อ่านตอนนี้
Google: เกาหลีเหนือใช้บล็อกเชนเพื่อกระจายมัลแวร์
ค้นพบกลยุทธ์ที่เป็นนวัตกรรมที่เกาหลีเหนือใช้ซ่อนมัลแวร์ภายในสัญญาอัจฉริยะบนบล็อกเชนสาธารณะ read more.
อ่านตอนนี้Google: เกาหลีเหนือใช้บล็อกเชนเพื่อกระจายมัลแวร์
อ่านตอนนี้ค้นพบกลยุทธ์ที่เป็นนวัตกรรมที่เกาหลีเหนือใช้ซ่อนมัลแวร์ภายในสัญญาอัจฉริยะบนบล็อกเชนสาธารณะ read more.
