Шкідливе програмне забезпечення з «плющеним замком» (trapdoor): масштабна атака на ланцюг постачання проти розробників криптовалют

Дослідники в Soclet виявили нову атаку на постачання, спрямовану на розробників криптовалюти із використанням пакетів npm, PyPI та Crates.io. Кампанію, яку назвали Trapdoor, зосереджено на крадіжці ключів гаманців криптовалют та інших секретів у розробників у криптосфері.

• Основні висновки:
• • 22 травня Socket виявив шкідливе ПЗ Trapdoor, яке інфікувало 34 пакети розробників, щоб викрадати криптогаманці та ключі.
• • Охопивши 384 версії, кампанія вводить в оману інструменти на базі ШІ та суттєво впливає на ринок розробки.
• • Після подібної атаки у вересні Socket попереджає, що розробники мають наступним кроком додатково захистити середовища ШІ від крадіжок у криптовалюті.

Схема атаки на ланцюг постачання Trapdoor націлена на розробників заради максимальної ефективності

Поки деякі кампанії зі шкідливим ПЗ націлені на звичайних користувачів криптовалюти, інші фокусуються на розробниках, намагаючись захопити цілі з вищою імовірністю володіння великими обсягами криптовалюти та доступом до ширших ресурсів.

Дослідники з Socket, компанії, що спеціалізується на запобіганні атакам на ланцюг постачання, виявили широку кампанію проти розробників криптовалюти: вона використовує інфіковані пакети в npm, PyPI та Crates.io.

Кампанію, названу Trapdoor, атака на ланцюг постачання охоплює 34 пакети в цих середовищах розробки, включно з понад 384 версіями, причому деякі з них усе ще доступні. У Socket повідомили, що уражені пакети публікували хвилями, починаючи з 22 травня, а потім оновлювали протягом наступних вихідних.

Пакети вирізнялися через свою природу: за твердженням, вони являли собою типові інструменти для розробників і з’являлися майже одразу одна за одною в різних реєстрах. Це дає кампанії «широке охоплення серед суміжних спільнот розробників, де з високою імовірністю присутні криптогаманці, облікові дані хмарних сервісів, токени Github і ключі SSH», оцінив socket.

Інфіковані пакети проникають у середовище розробки крипторозробників, використовуючи ці нібито інструменти з відкритим кодом, і закріплюються для викрадення секретів, криптогаманців, ключів secure shell (SSH) та інших релевантних даних.

Пакети, інфіковані Trapdoor, також намагаються використати інструменти на базі ШІ для посилення атаки, застосовуючи директивні файли, щоб підштовхнути інструменти ШІ для програмування до запуску перевірки безпеки та ексфільтрації надзвичайно чутливих даних.

У Socket заявили, що хоча ця техніка може не працювати стабільно в усіх інструментах і моделях ШІ, її наявність свідчить про те, що атакувальники «активно експериментують із середовищами розробки на базі ШІ як частиною кампаній шкідливого ПЗ для ланцюга постачання».

Атаки на ланцюг постачання стають дедалі поширенішими. У вересні криптоспільноту попередили про подібний інцидент: кілька пакетів, які використовують криптогаманці, були скомпрометовані та змінені, щоб викрадати кошти з гаманців, що містили bitcoin, ether і solana, а також інші цифрові активи.