O Ataque Massivo à Cadeia de Abastecimento que Visou Desenvolvedores de Criptomoedas

Principais Conclusões

• Em 22 de maio, a Socket descobriu malware Trapdoor infectando 34 pacotes de desenvolvedor para roubar carteiras e chaves de criptomoedas.
• Abrangendo 384 versões, a campanha engana ferramentas de IA e impacta severamente o mercado de desenvolvimento.
• Após um ataque semelhante em setembro, a Socket alerta que os desenvolvedores devem proteger também ambientes de IA contra roubo de criptomoedas.

Esquema de Ataque na Cadeia de Suprimentos Trapdoor Alvo de Desenvolvedores para Máximo Desempenho

Enquanto algumas campanhas de malware visam usuários comuns de criptomoedas, outras focam em desenvolvedores, visando capturar alvos com maior probabilidade de possuir grandes quantidades de criptomoedas e acesso a recursos mais amplos.

Pesquisadores da Socket, uma empresa especializada em prevenir ataques na cadeia de suprimentos, identificaram uma campanha ampla direcionada a desenvolvedores de criptomoedas usando pacotes infectados no npm, PyPI e Crates.io.

Batizada de Trapdoor, a campanha na cadeia de suprimentos abrange 34 pacotes nesses ambientes de desenvolvimento, totalizando mais de 384 versões, algumas ainda disponíveis. A Socket relatou que os pacotes afetados foram publicados em ondas a partir de 22 de maio e foram atualizados ao longo do fim de semana seguinte.

Os pacotes se destacaram por sua natureza, pois supostamente representavam ferramentas genéricas de desenvolvedor e apareceram em rápida sucessão em diferentes registros. Isso dá à campanha “alcance amplo em comunidades de desenvolvedores adjacentes, onde carteiras de criptomoedas, credenciais de nuvem, tokens do Github e chaves SSH provavelmente estão presentes”, avaliou a Socket.

Os pacotes infectados invadem o ambiente de desenvolvimento de desenvolvedores de criptomoedas, aproveitando essas ferramentas de código aberto, tomando controle de segredos, carteiras de criptomoedas, chaves SSH e outros dados relevantes.

Pacotes infectados pelo Trapdoor também tentam explorar ferramentas de IA para colaborar com seu ataque, usando arquivos de diretiva para enganar ferramentas de codificação de IA a executar uma varredura de segurança e exfiltrar dados altamente sensíveis.

A Socket afirmou que, embora essa técnica não possa funcionar de forma consistente em todas as ferramentas e modelos de IA, sua presença mostra que os atacantes “estão ativamente experimentando ambientes de desenvolvimento de IA como parte de campanhas de malware na cadeia de suprimentos.”

Ataques em cadeia estão se tornando mais comuns. Em setembro, a comunidade de criptomoedas foi alertada sobre um hack semelhante, com vários pacotes usados por carteiras de criptomoedas sendo comprometidos e modificados para roubar fundos de carteiras contendo bitcoin, ether, solana, entre outros ativos digitais.