トラップドア型マルウェア：暗号開発者を狙う大規模サプライチェーン攻撃

Socletの調査担当者は、npm、PyPI、Crates.ioのパッケージを利用して暗号資産開発者を狙う新しいサプライ攻撃を発見しました。このキャンペーンはTrapdoorと呼ばれ、暗号分野の開発者から暗号ウォレットの鍵やその他の機密情報を盗むことに焦点を当てています。

• 重要なポイント:
• • 5月22日、Socketは、暗号ウォレットと鍵を盗むために34の開発者パッケージへTrapdoorのマルウェアが感染しているのを発見しました。
• • 384バージョンにまたがるこのキャンペーンは、AIツールをだまし、開発市場に深刻な影響を与えています。
• • 9月に同様の攻撃があった後、Socketは開発者に対し、次は暗号窃盗からAI環境を確実に保護する必要があると警告しています。

サプライチェーン攻撃の仕組み Trapdoorは開発者を狙い、最大限の成果を狙う

一部のマルウェアキャンペーンが日常的な暗号資産利用者を標的にするのに対し、別のものは開発者を狙い、より多くの暗号資産を保有している可能性が高く、より広いリソースにアクセスできる相手を確保しようとします。

サプライチェーン攻撃の防止に特化する企業Socketの研究者は、npm、PyPI、Crates.ioにまたがる感染したパッケージを使って暗号資産の開発者を狙う広範なキャンペーンを特定しました。

Trapdoorと呼ばれるこのサプライチェーン攻撃は、これらの開発環境において34のパッケージに及び、384以上のバージョンを含みます（その一部は現在も利用可能です）。Socketは、影響を受けたパッケージが5月22日から波状に公開され、その後の週末を通じて更新されたと報告しました。

これらのパッケージは、その性質によって目立っていました。すなわち、一般的な開発者向けツールを表すものだとされ、異なるレジストリ間で短期間に相次いで登場していたということです。これにより、キャンペーンは「暗号ウォレット、クラウドの認証情報、Githubトークン、SSHキーが存在している可能性が高い、隣接する開発者コミュニティへの広い到達範囲」を持つ、とSocketは評価しています。

感染したパッケージは、暗号資産開発者の開発環境へ侵入し、これらの“オープンソース”ツールだとされるものを悪用して、機密情報、暗号ウォレット、セキュアシェル（SSH）鍵、その他の関連データを掌握します。

Trapdoorは、感染したパッケージでもAIツールの活用を狙い、指示用ファイルを用いてAIのコーディングツールを欺き、セキュリティスキャンを実行させて非常に機微なデータを外部へ持ち出そうとします。

Socketは、こうした手法がすべてのAIツールやモデルで一貫して機能するわけではないものの、その存在は、攻撃者が**「サプライチェーンのマルウェアキャンペーンの一環として、AI開発環境を積極的に試験している」**ことを示していると述べました。

チェーン攻撃は増えつつあります。9月には、暗号資産コミュニティが同様の侵害について警告を受けました。暗号ウォレットが利用する複数のパッケージが侵害され、改変されており、ビットコイン、イーサー、ソラナなどを含むデジタル資産が入ったウォレットから暗号資産の資金を盗むように仕組まれていました。