暗号開発者を狙った大規模なサプライチェーン攻撃

重要なポイント

• 5月22日、SocketはTrapdoorマルウェアが34の開発者パッケージに感染し、暗号通貨ウォレットと鍵を盗むために発見された。
• 384以上のバージョンにまたがるこのキャンペーンは、AIツールを騙し、開発市場に深刻な影響を与えている。
• 9月の類似攻撃の後、Socketは開発者に対し、次にAI環境を暗号盗難から保護する必要があると警告している。

サプライチェーン攻撃スキーム Trapdoorは開発者を標的にして最大のパフォーマンスを狙う

一部のマルウェアキャンペーンは日常的な暗号通貨ユーザーを標的にしているが、他のキャンペーンは開発者に焦点を当てており、大量の暗号通貨を保有し、より広範なリソースにアクセスできるターゲットを狙っている。

サプライチェーン攻撃の防止を専門とする企業Socketの研究者は、npm、PyPI、Crates.ioを横断して感染パッケージを使用した暗号通貨開発者を狙う広範なキャンペーンを特定した。

この攻撃はTrapdoorと名付けられ、これらの開発環境にまたがる34のパッケージに及び、384以上のバージョンを含み、一部はまだ利用可能である。Socketは、影響を受けたパッケージは5月22日から始まる波状の公開と、その後の週末にわたる更新が行われたと報告している。

これらのパッケージは、その性質から際立っており、一般的な開発者ツールを装い、異なるレジストリで次々に登場した。これにより、キャンペーンは「暗号通貨ウォレット、クラウド資格情報、Githubトークン、SSHキーが存在しやすい隣接する開発者コミュニティに広く浸透している」とSocketは評価している。

感染したパッケージは、これらのオープンソースツールを悪用し、暗号通貨開発者の開発環境に侵入し、秘密情報、暗号通貨ウォレット、セキュアシェル（SSH）キー、その他の関連データを奪取する。

Trapdoorの感染パッケージは、攻撃と連携するためにAIツールを利用しようと試み、指示ファイルを使ってAIコーディングツールを騙し、セキュリティスキャンを実行させ、非常に機密性の高いデータを外部に送信させる。

Socketは、この技術はすべてのAIツールやモデルで一貫して機能するわけではないと述べているが、その存在は攻撃者が「サプライチェーンマルウェアキャンペーンの一環としてAI開発環境を積極的に実験している」ことを示している。

チェーン攻撃はますます一般的になっている。9月には、暗号コミュニティに対して類似のハッキングが警告され、多くの暗号通貨ウォレットに使用されているパッケージが侵害され、改ざんされてビットコイン、イーサ、ソラナなどのデジタル資産を含むウォレットから暗号資産を盗むために利用された。