Массовая атака на цепочку поставок, нацеленная на разработчиков криптовалют

Основные выводы

• 22 мая Socket обнаружила вредоносное ПО Trapdoor, заражающее 34 пакета разработчиков для кражи криптокошельков и ключей.
• В кампании, охватывающей 384 версии, злоумышленники обманывают инструменты ИИ и серьезно влияют на рынок разработки.
• После аналогичной атаки в сентябре Socket предупреждает, что разработчикам необходимо также обеспечить безопасность сред ИИ от кражи криптовалют.

Схема атаки цепочки поставок Trapdoor нацелена на разработчиков для максимальной эффективности

В то время как некоторые кампании вредоносного ПО нацелены на обычных пользователей криптовалют, другие сосредоточены на разработчиках, стремясь захватить цели с большим количеством криптовалюты и доступом к более широким ресурсам.

Исследователи компании Socket, специализирующейся на предотвращении атак цепочки поставок, выявили широкую кампанию, нацеленную на крипторазработчиков с помощью зараженных пакетов в npm, PyPI и Crates.io.

Названная Trapdoor, эта атака цепочки поставок охватывает 34 пакета в этих средах разработки, включающих более 384 версий, некоторые из которых все еще доступны. Socket сообщил, что зараженные пакеты публиковались волнами, начиная с 22 мая, и затем обновлялись в течение следующего уикенда.

Пакеты выделялись своей природой, так как, по предположениям, представляли собой универсальные инструменты для разработчиков и появлялись в быстром порядке в разных реестрах. Это дает кампании «широкий охват смежных сообществ разработчиков, где могут находиться криптокошельки, облачные учетные данные, токены Github и SSH-ключи», оценил Socket.

Зараженные пакеты проникают в среду разработки крипторазработчиков, используя эти предполагаемые инструменты с открытым исходным кодом, захватывая секреты, криптокошельки, ключи SSH и другие важные данные.

Зараженные пакеты Trapdoor также пытаются использовать инструменты ИИ для сотрудничества с их атакой, применяя директивные файлы, чтобы обмануть инструменты кодирования ИИ, заставляя их запускать проверку безопасности и выводить чрезвычайно чувствительные данные.

Socket заявил, что хотя эта техника не может работать последовательно со всеми инструментами и моделями ИИ, ее наличие показывает, что злоумышленники «активно экспериментируют с средами разработки ИИ в рамках кампаний вредоносного ПО цепочки поставок».

Атаки цепочки поставок становятся все более распространенными. В сентябре криптосообщество было предупреждено о подобной взломе, при котором несколько пакетов, используемых криптокошельками, были скомпрометированы и модифицированы для кражи криптовалютных средств из кошельков, содержащих биткоины, эфир и солану, а также другие цифровые активы.