O Ataque em Grande Escala à Cadeia de Suprimentos que Visou Desenvolvedores de Criptomoedas

Principais Pontos de Destaque

• Em 22 de maio, a Socket descobriu malware Trapdoor infectando 34 pacotes de desenvolvedores para roubar carteiras e chaves de criptomoedas.
• Abrangendo 384 versões, a campanha engana ferramentas de IA e impacta severamente o mercado de desenvolvimento.
• Após um ataque semelhante em setembro, a Socket alerta que os desenvolvedores devem proteger também os ambientes de IA contra roubos de criptomoedas.

Esquema de Ataque na Cadeia de Suprimentos Trapdoor Alvo em Desenvolvedores para Máximo Desempenho

Enquanto algumas campanhas de malware visam usuários comuns de criptomoedas, outras focam em desenvolvedores, buscando capturar alvos com maior chance de possuir grandes quantidades de criptomoedas e acesso a recursos mais amplos.

Pesquisadores da Socket, uma empresa especializada em prevenir ataques na cadeia de suprimentos, identificaram uma campanha ampla direcionada a desenvolvedores de criptomoedas usando pacotes infectados no npm, PyPI e Crates.io.

Batizada de Trapdoor, a campanha de ataque na cadeia de suprimentos abrange 34 pacotes nesses ambientes de desenvolvimento, totalizando mais de 384 versões, algumas ainda disponíveis. A Socket relatou que os pacotes afetados foram publicados em ondas a partir de 22 de maio e foram atualizados ao longo do fim de semana seguinte.

Os pacotes se destacaram por sua natureza, pois supostamente representavam ferramentas genéricas de desenvolvedor e apareceram em rápida sucessão em diferentes registros. Isso dá à campanha “alcance amplo entre comunidades de desenvolvedores adjacentes, onde carteiras de criptomoedas, credenciais de nuvem, tokens do Github e chaves SSH provavelmente estão presentes”, avaliou a Socket.

Os pacotes infectados invadem o ambiente de desenvolvimento de desenvolvedores de criptomoedas, aproveitando essas ferramentas de código aberto, tomando posse de segredos, carteiras de criptomoedas, chaves de shell seguro (SSH) e outros dados relevantes.

Os pacotes infectados pelo Trapdoor também tentam usar ferramentas de IA para colaborar com seu ataque, usando arquivos de diretiva para enganar ferramentas de codificação de IA a executar uma varredura de segurança e exfiltrar dados altamente sensíveis.

A Socket afirmou que, embora essa técnica não possa funcionar de forma consistente em todas as ferramentas e modelos de IA, sua presença mostra que os atacantes “estão ativamente experimentando ambientes de desenvolvimento de IA como parte de campanhas de malware na cadeia de suprimentos.”

Ataques em cadeia estão se tornando mais comuns. Em setembro, a comunidade de criptomoedas foi alertada sobre um hack semelhante, com vários pacotes usados por carteiras de criptomoedas sendo comprometidos e modificados para roubar fundos de criptomoedas de carteiras contendo bitcoin, ether, solana, entre outros ativos digitais.