Вредоносная программа с «люком»: масштабная атака на цепочку поставок, нацеленная на разработчиков криптовалют

Следователи из Soclet обнаружили новую атаку на поставки, нацеленную на крипторазработчиков через пакеты npm, PyPI и Crates.io. Кампания, получившая название Trapdoor, сосредоточена на краже ключей криптокошельков и других секретов у разработчиков в криптосекторе.

• Основные выводы:
• • 22 мая Socket обнаружил вредоносное ПО Trapdoor, заражающее 34 пакета разработчиков, чтобы похищать криптокошельки и ключи.
• • Охватывая 384 версии, кампания обманывает AI-инструменты и существенно сказывается на рынке разработки.
• • После похожей атаки в сентябре Socket предупреждает: разработчикам нужно в первую очередь защитить AI-среды от криптокраж.

Схема атаки на цепочку поставок Trapdoor: разработчики под угрозой ради максимальной эффективности

Хотя некоторые вредоносные кампании нацелены на обычных пользователей криптовалюты, другие сосредоточиваются на разработчиках — чтобы захватить цели с более высокой вероятностью хранения крупных объемов криптовалюты и доступом к более широким ресурсам.

Исследователи из Socket, компании, специализирующейся на предотвращении атак на цепочки поставок, выявили масштабную кампанию против крипторазработчиков с использованием зараженных пакетов в npm, PyPI и Crates.io.

Переименованная в Trapdoor, атака на цепочку поставок охватывает 34 пакета в этих средах разработки, включая более 384 версий, при этом некоторые из них все еще доступны. Socket сообщил, что затронутые пакеты публиковались волнами, начиная с 22 мая, а затем обновлялись на протяжении следующих выходных.

Пакеты выделялись своей природой, поскольку, предположительно, представляли собой универсальные инструменты для разработчиков и появлялись почти подряд в разных реестрах. Это дает кампании «широкий охват в соседних сообществах разработчиков, где с высокой вероятностью присутствуют криптокошельки, облачные учетные данные, Github-токены и SSH-ключи», — оценили в Socket.

Зараженные пакеты проникают в среду разработки крипторазработчиков, используя эти предполагаемые инструменты с открытым исходным кодом, закрепляются и получают доступ к секретам, криптокошелькам, ключам secure shell (SSH) и другим связанным данным.

Пакеты Trapdoor также пытаются задействовать AI-инструменты для усиления атаки: используя директивные файлы, они обманывают инструменты для AI-кодинга, заставляя их запускать проверку безопасности и эксфильтрировать высокочувствительные данные.

Socket заявил, что хотя эта техника не может стабильно работать со всеми AI-инструментами и моделями, наличие такого подхода показывает, что злоумышленники «активно экспериментируют с AI-средами разработки в рамках кампаний вредоносного ПО по цепочке поставок».

Атаки на цепочки становятся все более распространенными. В сентябре криптосообщество предупредили о похожем взломе: несколько пакетов, используемых криптокошельками, были скомпрометированы и изменены, чтобы похищать средства с кошельков, содержащих bitcoin, ether и solana, среди прочих цифровых активов.