Tento týden vyšetřovatelé ze Soclet odhalili útok na dodavatelský řetězec zvaný Trapdoor, který se zaměřuje na vývojáře kryptoměn. Malware se šíří prostřednictvím kompromitovaných balíčků v repozitářích npm, PyPI a Crates.io a krade klíče k peněženkám kryptoměn a vývojářská tajemství. Na rozdíl od typických kryptopodvodů se záměrně vyhýbá běžným uživatelům.
Jak se Trapdoor šíří
Útočníci vložili škodlivý kód do zdánlivě legitimních softwarových knihoven. Vývojáři, kteří si tyto infikované balíčky nainstalovali bez ověření, automaticky aktivovali malware. Stalo se tak prostřednictvím důvěryhodných správců balíčků, které vývojáři používají denně.
Co je kradeno
Malware Trapdoor získává klíče k peněženkám kryptoměn a citlivá vývojářská přihlašovací údaje. To znamená, že peněženky projektových pokladen a interní bezpečnostní tokeny mohou být ohroženy. Vývojáři si nemusí uvědomit, že jejich systémy vysílají tajemství, dokud nezmizí finanční prostředky.
Proč jsou vývojáři v hledáčku
Krádež od jednoho vývojáře může vynést více než cílení na koncové uživatele. Jedna kompromitovaná peněženka může obsahovat projektové prostředky nebo poskytnout přístup k celým kódovým základnám. Nejde o náhodnou krádež – je cílená. Útočníci vědí, kde je skutečná hodnota.
Probíhající okamžitá opatření
Soclet spolupracuje se správci repozitářů na odstranění škodlivých balíčků. Vývojáři by nyní měli provést audit svých závislostí. Zatím neexistuje žádná oprava, protože Trapdoor se skrývá v legitimních aktualizacích kódu. Následujících 48 hodin prověří, jak rychle dokážou týmy vyčistit své pipeline.
