Дослідники з компанії Soclet виявили нову атаку типу «supply attack», спрямовану проти розробників криптовалют, які використовують пакети npm, PyPI та Crates.io. Кампанія, що отримала назву Trapdoor, спрямована на викрадення ключів від криптовалютних гаманців та інших конфіденційних даних у розробників у криптосфері.
Шкідливе ПЗ Trapdoor: масштабна атака на ланцюжок поставок, спрямована проти розробників криптовалют
АВТОР
ПОДІЛИТИСЯ
Основні висновки
- 22 травня компанія Socket виявила шкідливе програмне забезпечення Trapdoor, яке заразило 34 пакети для розробників з метою викрадення криптогаманців та ключів.
- Кампанія, що охоплює 384 версії, обманює інструменти штучного інтелекту та серйозно впливає на ринок розробки.
- Після подібної атаки у вересні Socket попереджає, що розробники повинні захистити середовища штучного інтелекту від крадіжок криптовалюти.
Схема атаки на ланцюжок поставок Trapdoor націлена на розробників для досягнення максимальної ефективності
Хоча деякі кампанії з використанням шкідливого програмного забезпечення націлені на звичайних користувачів криптовалют, інші зосереджуються на розробниках, прагнучи захопити цілі, які з більшою ймовірністю володіють великими сумами криптовалюти та мають доступ до ширших ресурсів.
Дослідники з Socket, компанії, що спеціалізується на запобіганні атакам на ланцюг постачання, виявили масштабну кампанію, спрямовану на розробників криптовалют, яка використовує заражені пакети в npm, PyPI та Crates.io.
Атака на ланцюг постачання, що отримала назву Trapdoor, охоплює 34 пакети в цих середовищах розробки, включаючи понад 384 версії, деякі з яких досі доступні. Socket повідомила, що уражені пакети публікувалися хвилями, починаючи з 22 травня, а потім оновлювалися протягом наступних вихідних.
Ці пакети виділялися своєю природою, оскільки нібито представляли загальні інструменти для розробників і з’являлися один за одним у різних реєстрах. Це надає кампанії «широкого охоплення суміжних спільнот розробників, де, ймовірно, присутні криптогаманці, облікові дані хмарних сервісів, токени Github та ключі SSH», — оцінила компанія Socket.
Заражені пакети проникають у середовище розробки крипторозробників, використовуючи ці нібито інструменти з відкритим кодом, захоплюючи секретні дані, криптогаманці, ключі Secure Shell (SSH) та інші відповідні дані.
Заражені пакети Trapdoor також намагаються використовувати інструменти штучного інтелекту для співпраці зі своєю атакою, використовуючи директивні файли, щоб обдурити інструменти кодування штучного інтелекту, щоб запустити сканування безпеки та викрасти надзвичайно конфіденційні дані.
Socket заявив, що хоча ця техніка не може працювати однаково у всіх інструментах та моделях ШІ, її наявність свідчить про те, що зловмисники «активно експериментують із середовищами розробки ШІ в рамках кампаній з поширення шкідливого програмного забезпечення через ланцюги постачання».
Ланцюгові атаки стають все більш поширеними. У вересні криптоспільнота була попереджена про подібний злом, під час якого кілька пакетів, що використовуються криптогаманцями, були скомпрометовані та модифіковані для викрадення криптовалютних коштів з гаманців, що містять біткойни, ефір та солану, серед інших цифрових активів.
