Các nhà nghiên cứu tại Soclet đã phát hiện ra một cuộc tấn công chuỗi cung ứng mới nhắm vào các nhà phát triển tiền điện tử thông qua các gói phần mềm trên npm, PyPI và Crates.io. Chiến dịch này, được đặt tên là Trapdoor, tập trung vào việc đánh cắp khóa ví tiền điện tử và các thông tin bí mật khác từ các nhà phát triển trong lĩnh vực tiền điện tử.
Phần mềm độc hại Trapdoor: Cuộc tấn công quy mô lớn vào chuỗi cung ứng nhắm vào các nhà phát triển tiền điện tử
TÁC GIẢ
CHIA SẺ
Điểm chính
- Vào ngày 22 tháng 5, Soclet đã phát hiện phần mềm độc hại Trapdoor lây nhiễm vào 34 gói phần mềm dành cho nhà phát triển nhằm đánh cắp ví tiền điện tử và khóa.
- Với 384 phiên bản, chiến dịch này lừa các công cụ AI và tác động nghiêm trọng đến thị trường phát triển.
- Sau một cuộc tấn công tương tự vào tháng 9, Socket cảnh báo các nhà phát triển phải bảo mật môi trường AI khỏi hành vi trộm cắp tiền điện tử.
Kế hoạch tấn công chuỗi cung ứng Trapdoor nhắm vào các nhà phát triển để đạt hiệu quả tối đa
Trong khi một số chiến dịch phần mềm độc hại nhắm vào người dùng tiền điện tử thông thường, những chiến dịch khác lại tập trung vào các nhà phát triển, nhằm chiếm đoạt các mục tiêu có khả năng sở hữu lượng tiền điện tử lớn và có quyền truy cập vào các nguồn lực rộng hơn.
Các nhà nghiên cứu tại Socket, một công ty chuyên ngăn chặn các cuộc tấn công chuỗi cung ứng, đã xác định được một chiến dịch quy mô lớn nhắm vào các nhà phát triển tiền điện tử bằng cách sử dụng các gói phần mềm bị nhiễm trên npm, PyPI và Crates.io.
Được đặt tên là Trapdoor, cuộc tấn công chuỗi cung ứng này bao trùm 34 gói phần mềm trên các môi trường phát triển này, bao gồm hơn 384 phiên bản, với một số vẫn còn sẵn có. Socket báo cáo rằng các gói phần mềm bị ảnh hưởng đã được phát hành theo đợt bắt đầu từ ngày 22 tháng 5 và sau đó được cập nhật trong suốt cuối tuần tiếp theo.
Các gói phần mềm này nổi bật do bản chất của chúng, vì chúng được cho là đại diện cho các công cụ phát triển chung và xuất hiện liên tiếp trên các kho lưu trữ khác nhau. Điều này giúp chiến dịch có "phạm vi ảnh hưởng rộng khắp các cộng đồng phát triển liên quan, nơi ví tiền điện tử, thông tin đăng nhập đám mây, token GitHub và khóa SSH có khả năng tồn tại", Socket đánh giá.
Các gói phần mềm bị nhiễm xâm nhập vào môi trường phát triển của các nhà phát triển tiền điện tử, tận dụng các công cụ mã nguồn mở được cho là này, chiếm giữ các thông tin bí mật, ví tiền điện tử, khóa Secure Shell (SSH) và các dữ liệu liên quan khác.
Các gói phần mềm bị nhiễm Trapdoor cũng cố gắng tận dụng các công cụ AI để hỗ trợ cuộc tấn công của chúng, sử dụng các tệp chỉ thị để lừa các công cụ mã hóa AI chạy quét bảo mật và lấy cắp dữ liệu cực kỳ nhạy cảm.
Socket cho biết mặc dù kỹ thuật này không thể hoạt động nhất quán trên tất cả các công cụ và mô hình AI, nhưng sự hiện diện của nó cho thấy các kẻ tấn công "đang tích cực thử nghiệm các môi trường phát triển AI như một phần của các chiến dịch phần mềm độc hại chuỗi cung ứng."
Các cuộc tấn công chuỗi đang trở nên phổ biến hơn. Vào tháng 9, cộng đồng tiền điện tử đã được cảnh báo về một vụ hack tương tự, với một số gói phần mềm được sử dụng bởi các ví tiền điện tử bị xâm nhập và sửa đổi để đánh cắp tiền điện tử từ các ví chứa bitcoin, ether và solana, cùng các tài sản kỹ thuật số khác.
