针对加密开发者的大规模供应链攻击

主要要点

• 5月22日，Socket发现Trapdoor恶意软件感染了34个开发者包，旨在窃取加密钱包和密钥。
• 这场涵盖384个版本的攻击活动，欺骗了AI工具，严重影响了开发市场。
• 在九月类似攻击之后，Socket警告开发者必须下一步保护AI环境免受加密货币盗窃。

供应链攻击方案Trapdoor以最大性能瞄准开发者

虽然一些恶意软件活动针对普通加密货币用户，但其他则专注于开发者，旨在捕获更有可能持有大量加密货币且拥有更广泛资源的目标。

专注于防止供应链攻击的公司Socket的研究人员发现了一场针对加密开发者的广泛活动，利用感染的包在npm、PyPI和Crates.io中进行攻击。

该攻击被命名为Trapdoor，涉及这三个开发环境中的34个包，涵盖超过384个版本，其中一些仍然可用。Socket报告称，受影响的包从5月22日开始分批发布，并在接下来一个周末持续更新。

这些包因其性质而引人注目，据称它们代表通用开发工具，并在不同注册表中快速出现。这使得该活动“在可能存在加密钱包、云凭证、Github令牌和SSH密钥的相关开发者社区中具有广泛的影响范围，”Socket评估。

感染的包侵入加密开发者的开发环境，利用这些所谓的开源工具，窃取秘密、加密钱包、SSH密钥及其他相关数据。

Trapdoor感染的包还试图利用AI工具协作攻击，使用指令文件欺骗AI编码工具运行安全扫描并窃取高度敏感的数据。

Socket表示，虽然这种技术不能在所有AI工具和模型中始终奏效，但其存在表明“攻击者正在积极尝试将AI开发环境作为供应链恶意软件活动的一部分。”

链式攻击变得越来越普遍。九月，加密社区被警告出现类似的黑客事件，多个被加密钱包使用的包被破坏和修改，以窃取包含比特币、以太币和索拉纳等数字资产的加密货币资金。