Serangan Rantai Pasokan Besar-besaran yang Menargetkan Pengembang Kripto

Ringkasan Utama

• Pada 22 Mei, Socket menemukan malware Trapdoor menginfeksi 34 paket pengembang untuk mencuri dompet dan kunci crypto.
• Meliputi 384 versi, kampanye ini menipu alat AI dan secara serius mempengaruhi pasar pengembangan.
• Setelah serangan serupa pada September, Socket memperingatkan pengembang untuk selanjutnya mengamankan lingkungan AI dari pencurian crypto.

Skema Serangan Rantai Pasokan Trapdoor Menargetkan Pengembang Untuk Performa Maksimal

Meskipun beberapa kampanye malware menargetkan pengguna crypto sehari-hari, yang lain fokus pada pengembang, bertujuan untuk menangkap target dengan kemungkinan memegang sejumlah besar cryptocurrency dan memiliki akses ke sumber daya yang lebih luas.

Para peneliti di Socket, sebuah perusahaan yang mengkhususkan diri dalam mencegah serangan rantai pasokan, telah mengidentifikasi kampanye luas yang menargetkan pengembang crypto menggunakan paket yang terinfeksi di npm, PyPI, dan Crates.io.

Dijuluki Trapdoor, serangan rantai pasokan ini mencakup 34 paket di berbagai lingkungan pengembangan ini, meliputi lebih dari 384 versi, dengan beberapa masih tersedia. Socket melaporkan bahwa paket yang terpengaruh dipublikasikan dalam gelombang mulai 22 Mei dan kemudian diperbarui sepanjang akhir pekan berikutnya.

Paket-paket ini menonjol karena sifatnya, karena mereka diduga mewakili alat pengembang umum dan muncul secara cepat di berbagai registry. Ini memberi kampanye “jangkauan luas di komunitas pengembang tetangga di mana dompet crypto, kredensial cloud, token Github, dan kunci SSH kemungkinan besar hadir,” kata socket.

Paket yang terinfeksi ini menyerang lingkungan pengembangan pengembang crypto, memanfaatkan alat sumber terbuka yang diduga ini, mengambil alih rahasia, dompet crypto, kunci secure shell (SSH), dan data relevan lainnya.

Paket yang terinfeksi Trapdoor juga mencoba memanfaatkan alat AI untuk berkolaborasi dengan serangan mereka, menggunakan file directive untuk menipu alat pengkodean AI agar menjalankan pemindaian keamanan dan mengekstraksi data yang sangat sensitif.

Socket menyatakan bahwa meskipun teknik ini tidak dapat bekerja secara konsisten di semua alat dan model AI, keberadaannya menunjukkan bahwa penyerang “secara aktif bereksperimen dengan lingkungan pengembangan AI sebagai bagian dari kampanye malware rantai pasokan.”

Serangan rantai semakin umum. Pada September, komunitas crypto diberi peringatan tentang peretasan serupa, dengan beberapa paket yang digunakan oleh dompet crypto yang dikompromikan dan dimodifikasi untuk mencuri dana cryptocurrency dari dompet yang berisi bitcoin, ether, dan solana, di antara aset digital lainnya.