Phần mềm độc hại Trapdoor: Cuộc tấn công chuỗi cung ứng quy mô lớn nhắm vào các nhà phát triển crypto

Các nhà điều tra tại Soclet đã phát hiện một kiểu tấn công mạo nhận nguồn cung mới nhắm vào các nhà phát triển crypto thông qua các gói npm, PyPI và Crates.io. Chiến dịch, được đặt tên là Trapdoor, tập trung đánh cắp khóa ví crypto và các bí mật khác từ các nhà phát triển trong lĩnh vực crypto.

• Những điểm chính:
• • Vào ngày 22/5, Socket phát hiện malware Trapdoor đã lây nhiễm 34 gói dành cho nhà phát triển để đánh cắp ví và khóa crypto.
• • Tải trên 384 phiên bản, chiến dịch đánh lừa các công cụ AI và ảnh hưởng nghiêm trọng đến thị trường phát triển.
• • Sau một cuộc tấn công tương tự vào tháng 9, Socket cảnh báo rằng các nhà phát triển cần sớm bảo mật môi trường AI trước nguy cơ bị đánh cắp crypto.

Lược đồ tấn công chuỗi cung ứng Trapdoor nhắm vào các nhà phát triển để tối ưu hiệu suất tối đa

Trong khi một số chiến dịch malware nhắm vào người dùng crypto hằng ngày, thì những chiến dịch khác lại nhắm vào các nhà phát triển, nhằm nắm bắt mục tiêu có khả năng nắm giữ lượng lớn tiền mã hóa hơn và có quyền truy cập vào các nguồn lực rộng hơn.

Các nhà nghiên cứu tại Socket, một công ty chuyên ngăn chặn các cuộc tấn công chuỗi cung ứng, đã xác định một chiến dịch quy mô lớn nhắm vào các nhà phát triển crypto thông qua các gói bị nhiễm trên npm, PyPI và Crates.io.

Được gọi là Trapdoor, cuộc tấn công chuỗi cung ứng này trải rộng trên 34 gói trong các môi trường phát triển kể trên, bao gồm hơn 384 phiên bản, và một số vẫn còn sẵn. Socket cho biết các gói bị ảnh hưởng được đăng theo từng đợt bắt đầu từ ngày 22/5, sau đó được cập nhật trong suốt cuối tuần tiếp theo.

Các gói này nổi bật nhờ bản chất của chúng, vì được cho là đại diện cho các công cụ phát triển chung và xuất hiện nhanh chóng liên tiếp trên nhiều kho lưu trữ khác nhau. Điều này giúp chiến dịch có “tầm với rộng khắp các cộng đồng nhà phát triển lân cận, nơi có khả năng tồn tại ví crypto, thông tin xác thực đám mây, token Github và khóa SSH”, Socket đánh giá.

Các gói bị nhiễm xâm nhập vào môi trường phát triển của các nhà phát triển crypto, tận dụng các công cụ mã nguồn mở được cho là, để chiếm giữ các bí mật, ví crypto, khóa secure shell (SSH) và các dữ liệu liên quan khác.

Các gói bị nhiễm Trapdoor cũng tìm cách tận dụng các công cụ AI để phối hợp với cuộc tấn công của chúng, sử dụng các tệp chỉ dẫn để lừa các công cụ AI viết mã chạy một tác vụ quét bảo mật và trích xuất dữ liệu đặc biệt nhạy cảm.

Socket cho biết dù kỹ thuật này có thể không hoạt động nhất quán trên tất cả các công cụ và mô hình AI, nhưng sự hiện diện của nó cho thấy kẻ tấn công “đang tích cực thử nghiệm các môi trường phát triển AI như một phần của các chiến dịch malware chuỗi cung ứng.”

Các cuộc tấn công theo chuỗi đang ngày càng phổ biến. Vào tháng 9, cộng đồng crypto được cảnh báo về một vụ hack tương tự, trong đó một số gói được sử dụng bởi các ví crypto đã bị xâm phạm và chỉnh sửa để đánh cắp tiền mã hóa từ các ví có chứa bitcoin, ether và solana, cùng các tài sản kỹ thuật số khác.