Malware de trampa: el masivo ataque de cadena de suministro dirigido a desarrolladores de criptomonedas

Investigadores en Soclet han descubierto un nuevo ataque de suministro dirigido a desarrolladores de cripto mediante paquetes de npm, PyPI y Crates.io. La campaña, denominada Trapdoor, se centra en robar claves de carteras cripto y otros secretos de desarrolladores en el sector cripto.

• Puntos clave:
• • El 22 de mayo, Socket encontró malware Trapdoor infectando 34 paquetes de desarrolladores para robar carteras y claves de cripto.
• • Abarcando 384 versiones, la campaña engaña a herramientas de IA y afecta gravemente al mercado de desarrollo.
• • Tras un ataque similar de septiembre, Socket advierte que los desarrolladores deben asegurar los entornos de IA ante el robo de cripto.

Esquema de ataque de la cadena de suministro Trapdoor apunta a desarrolladores para máximo rendimiento

Mientras algunas campañas de malware se dirigen a usuarios cotidianos de cripto, otras se enfocan en desarrolladores, buscando capturar objetivos con mayor probabilidad de tener grandes cantidades de criptomoneda y acceso a recursos más amplios.

Los investigadores de Socket, una empresa especializada en prevenir ataques de la cadena de suministro, han identificado una campaña amplia dirigida a desarrolladores cripto mediante paquetes infectados en npm, PyPI y Crates.io.

Bautizado Trapdoor, el ataque de la cadena de suministro abarca 34 paquetes en estos entornos de desarrollo, incluyendo más de 384 versiones, con algunos aún disponibles. Socket informó que los paquetes afectados se publicaron en oleadas a partir del 22 de mayo y luego se actualizaron durante el fin de semana siguiente.

Los paquetes destacaron por su naturaleza, ya que presuntamente representaban herramientas genéricas para desarrolladores y aparecieron en rápida sucesión en diferentes registros. Esto le da a la campaña “un alcance amplio en comunidades de desarrolladores adyacentes donde es probable que existan carteras de cripto, credenciales de nube, tokens de Github y claves SSH”, evaluó socket.

Los paquetes infectados invaden el entorno de desarrollo de los desarrolladores de cripto, aprovechando estas presuntas herramientas de código abierto, y se apoderan de secretos, carteras cripto, claves de secure shell (SSH) y otros datos relevantes.

Los paquetes infectados por Trapdoor también intentan aprovechar herramientas de IA para colaborar con su ataque, usando archivos de directivas para engañar a las herramientas de codificación con IA y hacer que ejecuten un escaneo de seguridad y exfiltren datos altamente sensibles.

Socket indicó que, si bien esta técnica no podría funcionar de manera consistente en todas las herramientas y modelos de IA, su presencia demuestra que los atacantes “están experimentando activamente con entornos de desarrollo con IA como parte de campañas de malware de la cadena de suministro.”

Los ataques en cadena se están volviendo más comunes. En septiembre, la comunidad cripto recibió una alerta sobre un hack similar, con varios paquetes usados por carteras cripto que fueron comprometidos y modificados para robar fondos de criptomonedas de carteras que contienen bitcoin, ether y solana, entre otros activos digitales.