Soclet-efterforskere afdækkede denne uge et forsyningskædeangreb kaldet Trapdoor, der retter sig mod kryptoudviklere. Malwaren spredes via kompromitterede pakker på npm-, PyPI- og Crates.io-indekser for at stjæle nøgler til kryptovaluta-punge og udviklerhemmeligheder. I modsætning til typisk kryptosvindel undgår den specifikt almindelige brugere.
Sådan spredes Trapdoor
Angribere injicerede ondsindet kode i tilsyneladende legitime softwarebiblioteker. Udviklere, der installerede disse forgiftede pakker uden verifikation, aktiverede malwaren automatisk. Det skete gennem pålidelige pakkehåndteringsværktøjer, som udviklere bruger dagligt.
Hvad der bliver stjålet
Trapdoor-malwaren henter nøgler til kryptovaluta-punge samt følsomme udviklerlegitimationsoplysninger. Det betyder, at projektets pulje-punge og interne sikkerhedstokens kan blive kompromitteret. Udviklere opdager måske ikke, at deres systemer udsender hemmeligheder, før midler forsvinder.
Hvorfor udviklere er i skudlinjen
At stjæle fra en enkelt udvikler kan give mere end at målrette slutbrugere. En kompromitteret pung kan indeholde projektmidler eller give adgang til hele kodebaser. Dette er ikke tilfældigt tyveri – det er kirurgisk. Angriberne ved, hvor den virkelige værdi ligger.
Øjeblikkelige handlinger i gang
Soclet arbejder sammen med indeksadministratorer for at fjerne ondsindede pakker. Udviklere bør straks revidere deres afhængigheder. Der er endnu ingen rettelse, fordi Trapdoor gemmer sig i legitime kodeopdateringer. De næste 48 timer vil teste, hvor hurtigt teams kan rense deres pipelines.
