Malware de porta dos fundos: o grande ataque à cadeia de suprimentos visando desenvolvedores de criptomoedas

Investigadores na Soclet descobriram um novo ataque de fornecimento (supply attack) mirando desenvolvedores de cripto por meio de pacotes npm, PyPI e Crates.io. A campanha, apelidada de Trapdoor, tem como foco roubar chaves de carteiras de criptomoedas e outros segredos de desenvolvedores no setor de cripto.

• Principais destaques:
• • Em 22 de maio, a Socket encontrou malware Trapdoor infectando 34 pacotes de desenvolvedores para roubar carteiras e chaves de cripto.
• • Abrangendo 384 versões, a campanha engana ferramentas de IA e afeta severamente o mercado de desenvolvimento.
• • Após um ataque semelhante em setembro, a Socket alerta que os desenvolvedores precisam, na sequência, proteger ambientes de IA contra roubo de cripto.

Esquema de ataque de cadeia de fornecimento: Trapdoor mira desenvolvedores para máxima performance

Enquanto algumas campanhas de malware miram usuários comuns de cripto, outras se concentram em desenvolvedores, buscando capturar alvos com maior chance de manter grandes quantidades de criptomoeda e ter acesso a recursos mais amplos.

Pesquisadores da Socket, uma empresa especializada em prevenir ataques de cadeia de fornecimento, identificaram uma campanha ampla mirando desenvolvedores de cripto usando pacotes infectados no npm, PyPI e Crates.io.

Batizada de Trapdoor, a campanha de cadeia de fornecimento abrange 34 pacotes nesses ambientes de desenvolvimento, incluindo mais de 384 versões, com alguns ainda disponíveis. A Socket informou que os pacotes afetados foram publicados em ondas a partir de 22 de maio e depois foram atualizados ao longo do fim de semana seguinte.

Os pacotes se destacaram por sua natureza, já que alegadamente representariam ferramentas genéricas de desenvolvedor e apareciam em rápida sucessão em diferentes registros. Isso dá à campanha “ampla presença em comunidades adjacentes de desenvolvedores onde chaves de carteiras cripto, credenciais de nuvem, tokens do Github e chaves SSH provavelmente estarão presentes”, avaliou a socket.

Os pacotes infectados invadem o ambiente de desenvolvimento de desenvolvedores de cripto, aproveitando essas supostas ferramentas de código aberto, para capturar segredos, carteiras de criptomoedas, chaves de secure shell (SSH) e outros dados relevantes.

Os pacotes infectados pela Trapdoor também tentam aproveitar ferramentas de IA para colaborar com o ataque, usando arquivos de diretiva para enganar ferramentas de codificação por IA a executar uma varredura de segurança e exfiltrar dados altamente sensíveis.

A Socket afirmou que, embora essa técnica não pudesse funcionar de forma consistente em todas as ferramentas e modelos de IA, sua presença mostra que os atacantes “estão testando ativamente ambientes de desenvolvimento com IA como parte de campanhas de malware de cadeia de fornecimento.”

Ataques de cadeia estão se tornando mais comuns. Em setembro, a comunidade cripto foi alertada sobre um hack semelhante, em que vários pacotes usados por carteiras cripto foram comprometidos e modificados para roubar fundos de criptomoedas de carteiras contendo bitcoin, ether e solana, entre outros ativos digitais.