Malware Trapdoor: O Ataque Massivo à Cadeia de Abastecimento que mira os programadores de cripto

Investigadores da Soclet descobriram um novo ataque de aprovisionamento (supply attack) que visa programadores de cripto através de pacotes npm, PyPI e Crates.io. A campanha, com o nome Trapdoor, centra-se em roubar chaves das carteiras de cripto e outros segredos de programadores no sector da cripto.

• Ideias principais:
• • A 22 de maio, a Socket encontrou malware Trapdoor infetando 34 pacotes de programadores para roubar carteiras e chaves de cripto.
• • Abrangendo 384 versões, a campanha engana ferramentas de IA e tem um impacto severo no mercado de desenvolvimento.
• • Após um ataque semelhante em setembro, a Socket alerta que os programadores devem, em seguida, proteger ambientes de IA contra roubos de cripto.

Esquema de ataque à cadeia de abastecimento: o Trapdoor visa programadores para obter o máximo desempenho

Embora algumas campanhas de malware se concentrem em utilizadores comuns de cripto, outras visam programadores, tentando capturar alvos com maior probabilidade de deter grandes quantidades de criptomoeda e com acesso a recursos mais amplos.

Investigadores da Socket, uma empresa especializada em prevenir ataques à cadeia de abastecimento, identificaram uma campanha alargada que ataca programadores de cripto, utilizando pacotes infetados em npm, PyPI e Crates.io.

Batizada de Trapdoor, a operação de ataque à cadeia de abastecimento abrange 34 pacotes nestes ambientes de desenvolvimento, englobando mais de 384 versões, com alguns ainda disponíveis. A Socket informou que os pacotes afetados foram publicados em vagas a partir de 22 de maio e, depois, foram atualizados ao longo do fim de semana seguinte.

Os pacotes destacaram-se pela sua natureza, uma vez que alegadamente representavam ferramentas genéricas para programadores e surgiram em rápida sucessão em diferentes repositórios. Isto dá à campanha “uma ampla capacidade de alcance em comunidades adjacentes de programadores onde é provável existirem carteiras de cripto, credenciais de cloud, tokens do Github e chaves SSH”, avaliou a socket.

Os pacotes infetados invadem o ambiente de desenvolvimento de programadores de cripto, tirando partido destas alegadas ferramentas de código aberto, para captar segredos, carteiras de cripto, chaves de secure shell (SSH) e outros dados relevantes.

Os pacotes infetados pelo Trapdoor tentam igualmente tirar partido de ferramentas de IA para colaborar com o ataque, usando ficheiros de instrução para enganar ferramentas de codificação por IA a executarem uma verificação de segurança e a exfiltrar dados altamente sensíveis.

A Socket afirmou que, embora esta técnica não possa funcionar de forma consistente em todas as ferramentas e modelos de IA, a sua presença demonstra que os atacantes “estão ativamente a experimentar ambientes de desenvolvimento com IA como parte de campanhas de malware na cadeia de abastecimento.”

Os ataques à cadeia estão a tornar-se mais comuns. Em setembro, a comunidade cripto foi alertada para um hack semelhante: vários pacotes utilizados por carteiras de cripto foram comprometidos e modificados para roubar fundos de criptomoeda de carteiras que contêm bitcoin, ether e solana, entre outros ativos digitais.