La grande attaque de la chaîne d'approvisionnement ciblant les développeurs de crypto-monnaies

Points clés à retenir

• Le 22 mai, Socket a découvert un malware Trapdoor infectant 34 packages de développeurs pour voler des portefeuilles et clés crypto.
• S'étendant sur 384 versions, la campagne trompe les outils d'IA et impacte gravement le marché du développement.
• Après une attaque similaire en septembre, Socket avertit que les développeurs doivent désormais sécuriser les environnements d'IA contre le vol de crypto.

Schéma d'attaque de la chaîne d'approvisionnement Trapdoor cible les développeurs pour des performances maximales

Alors que certaines campagnes de malware ciblent les utilisateurs crypto quotidiens, d'autres se concentrent sur les développeurs, visant à capturer des cibles ayant une plus grande probabilité de détenir de grandes quantités de cryptomonnaies et d'avoir accès à des ressources plus larges.

Les chercheurs de Socket, une entreprise spécialisée dans la prévention des attaques de la chaîne d'approvisionnement, ont identifié une vaste campagne visant les développeurs crypto utilisant des packages infectés sur npm, PyPI et Crates.io.

Surnommée Trapdoor, cette attaque de la chaîne d'approvisionnement couvre 34 packages dans ces environnements de développement, regroupant plus de 384 versions, dont certaines sont encore disponibles. Socket a rapporté que les packages affectés ont été publiés par vagues à partir du 22 mai, puis ont été mis à jour tout au long du week-end suivant.

Les packages se distinguaient par leur nature, car ils représentaient prétendument des outils génériques pour développeurs et apparaissaient en succession rapide dans différents registres. Cela donne à la campagne « une large portée à travers des communautés de développeurs adjacentes où des portefeuilles crypto, des identifiants cloud, des tokens Github et des clés SSH sont susceptibles d’être présents », a évalué Socket.

Les packages infectés envahissent l’environnement de développement des développeurs crypto, en exploitant ces outils open-source présumés, en prenant le contrôle de secrets, portefeuilles crypto, clés SSH, et autres données sensibles.

Les packages infectés par Trapdoor tentent également de tirer parti des outils d’IA pour collaborer avec leur attaque, en utilisant des fichiers de directive pour tromper les outils de codage IA afin d’exécuter une analyse de sécurité et d’exfiltrer des données hautement sensibles.

Socket a déclaré que, bien que cette technique ne puisse pas fonctionner de manière cohérente avec tous les outils et modèles d’IA, sa présence montre que les attaquants « expérimentent activement avec les environnements de développement IA dans le cadre de campagnes de malware de la chaîne d’approvisionnement. »

Les attaques en chaîne deviennent de plus en plus courantes. En septembre, la communauté crypto a été alertée d’un piratage similaire, avec plusieurs packages utilisés par des portefeuilles crypto compromis et modifiés pour voler des fonds en cryptomonnaie à partir de portefeuilles contenant du bitcoin, de l’ether, du solana, parmi d’autres actifs numériques.