Cuộc tấn công chuỗi cung ứng quy mô lớn nhằm vào các nhà phát triển tiền điện tử

Những điểm chính cần ghi nhớ

• Vào ngày 22 tháng 5, Socket phát hiện malware Trapdoor xâm nhập vào 34 gói phần mềm của nhà phát triển để đánh cắp ví và chìa khóa tiền điện tử.
• Chiến dịch này kéo dài qua 384 phiên bản, lừa các công cụ AI và ảnh hưởng nghiêm trọng đến thị trường phát triển.
• Sau một cuộc tấn công tương tự vào tháng 9, Socket cảnh báo các nhà phát triển cần tiếp tục bảo vệ môi trường AI khỏi trộm cắp tiền điện tử.

Schemes tấn công chuỗi cung ứng Trapdoor nhắm vào nhà phát triển để đạt hiệu suất tối đa

Trong khi một số chiến dịch malware nhắm vào người dùng tiền điện tử hàng ngày, thì những chiến dịch khác tập trung vào các nhà phát triển, nhằm mục tiêu vào các đối tượng có khả năng nắm giữ lượng lớn tiền điện tử và có quyền truy cập vào nhiều nguồn lực hơn.

Các nhà nghiên cứu tại Socket, một công ty chuyên về phòng chống các cuộc tấn công chuỗi cung ứng, đã xác định một chiến dịch rộng lớn nhắm vào các nhà phát triển tiền điện tử sử dụng các gói phần mềm bị nhiễm trên npm, PyPI và Crates.io.

Gọi là Trapdoor, cuộc tấn công chuỗi cung ứng này bao gồm 34 gói phần mềm trên các môi trường phát triển này, gồm hơn 384 phiên bản, trong đó vẫn còn một số phiên bản có sẵn. Socket cho biết các gói bị ảnh hưởng được phát hành theo từng đợt bắt đầu từ ngày 22 tháng 5 và sau đó được cập nhật suốt cuối tuần tiếp theo.

Các gói này nổi bật vì tính chất của chúng, khi chúng được cho là đại diện cho các công cụ nhà phát triển chung chung và xuất hiện liên tiếp trên các registry khác nhau. Điều này giúp chiến dịch “tiếp cận rộng rãi các cộng đồng nhà phát triển lân cận, nơi có khả năng chứa ví tiền điện tử, thông tin xác thực đám mây, token Github và chìa khóa SSH,” theo đánh giá của socket.

Các gói bị nhiễm xâm nhập vào môi trường phát triển của các nhà phát triển tiền điện tử, lợi dụng các công cụ mã nguồn mở này để chiếm quyền kiểm soát các bí mật, ví tiền điện tử, chìa khóa SSH và các dữ liệu quan trọng khác.

Các gói Trapdoor bị nhiễm cũng cố gắng tận dụng các công cụ AI để phối hợp trong cuộc tấn công, sử dụng các tệp chỉ thị để lừa các công cụ lập trình AI chạy quét bảo mật và trích xuất dữ liệu nhạy cảm cao.

Socket cho biết, mặc dù kỹ thuật này không thể hoạt động nhất quán trên tất cả các công cụ và mô hình AI, nhưng sự xuất hiện của nó cho thấy các hacker “đang tích cực thử nghiệm các môi trường phát triển AI như một phần của các chiến dịch malware chuỗi cung ứng.”

Các cuộc tấn công chuỗi ngày càng trở nên phổ biến. Vào tháng 9, cộng đồng tiền điện tử đã được cảnh báo về một cuộc hack tương tự, với nhiều gói phần mềm được sử dụng bởi ví tiền điện tử bị xâm phạm và chỉnh sửa để đánh cắp quỹ tiền điện tử từ các ví chứa bitcoin, ether, solana và các tài sản kỹ thuật số khác.