Масова атака на ланцюг постачання, спрямована на розробників криптовалют

Основні висновки

• 22 травня Socket виявила шкідливу програму Trapdoor, яка інфікувала 34 пакети для розробників з метою крадіжки криптогаманців та ключів.
• В рамках кампанії, що охоплює 384 версії, шахраї обманюють інструменти штучного інтелекту та серйозно впливають на ринок розробки.
• Після подібної атаки у вересні, Socket попереджає розробників про необхідність захисту середовищ штучного інтелекту від крадіжки криптовалют.

Схема атаки на ланцюг поставок Trapdoor цілить розробників для максимальної продуктивності

Хоча деякі кампанії шкідливого програмного забезпечення націлені на звичайних користувачів криптовалют, інші зосереджені на розробниках, прагнучи захопити цілі з високою ймовірністю володіння великими обсягами криптовалюти та доступу до ширших ресурсів.

Дослідники з Socket, компанії, яка спеціалізується на запобіганні атакам на ланцюг поставок, виявили широку кампанію, що націлена на крипро-розробників за допомогою інфікованих пакетів у npm, PyPI та Crates.io.

Названа Trapdoor, ця атака на ланцюг поставок охоплює 34 пакети в цих середовищах розробки, що включає понад 384 версії, деякі з яких досі доступні. Socket повідомила, що уражені пакети були опубліковані хвилями, починаючи з 22 травня, а потім оновлювалися протягом наступних вихідних.

Пакети виділялися своєю природою, оскільки, за словами, вони нібито представляли універсальні інструменти для розробників і з’являлися швидко у різних реєстрах. Це дає кампанії «широкий охоплення серед суміжних спільнот розробників, де ймовірно присутні криптовалютні гаманці, облікові дані хмар, токени Github та SSH-ключі», оцінила Socket.

Інфіковані пакети проникають у середовище розробки крипто-розробників, використовуючи ці нібито відкриті інструменти, захоплюючи секрети, криптогаманці, ключі SSH та інші важливі дані.

Пакети Trapdoor також намагаються використовувати інструменти штучного інтелекту для співпраці з атакою, застосовуючи директивні файли, щоб обдурити інструменти кодування AI для запуску перевірки безпеки та витоку дуже чутливих даних.

Socket заявила, що хоча ця техніка не може працювати послідовно з усіма інструментами та моделями AI, її присутність показує, що зловмисники «активно експериментують із середовищами розробки AI у рамках кампаній шкідливого програмного забезпечення у ланцюгу поставок».

Атаки на ланцюги стають все поширенішими. У вересні криптоспільнота була попереджена про подібну хакерську атаку, коли кілька пакетів, що використовуються криптовалютними гаманцями, були скомпрометовані та змінені для крадіжки криптовалютних коштів із гаманців, що містять біткоїни, ефір, солану та інші цифрові активи.