Soclet-Ermittler entdeckten diese Woche einen Supply-Chain-Angriff namens Trapdoor, der sich gegen Krypto-Entwickler richtet. Die Malware verbreitet sich über kompromittierte Pakete in den Repositories npm, PyPI und Crates.io, um Kryptowährungs-Wallet-Schlüssel und Entwicklergeheimnisse zu stehlen. Im Gegensatz zu typischen Krypto-Betrügereien meidet sie gezielt normale Nutzer.
Wie Trapdoor sich verbreitet
Angreifer haben bösartigen Code in scheinbar legitime Softwarebibliotheken eingeschleust. Entwickler, die diese vergifteten Pakete ohne Überprüfung installierten, aktivierten die Malware automatisch. Dies geschah über vertrauenswürdige Paketmanager, die Entwickler täglich nutzen.
Was gestohlen wird
Die Trapdoor-Malware erbeutet Kryptowährungs-Wallet-Schlüssel und sensible Entwickleranmeldeinformationen. Das bedeutet, dass Projekt-Treasury-Wallets und interne Sicherheitstoken gefährdet sein könnten. Entwickler bemerken möglicherweise nicht, dass ihre Systeme Geheimnisse preisgeben, bis Gelder verschwinden.
Warum Entwickler im Visier sind
Der Diebstahl bei einem einzelnen Entwickler kann mehr einbringen als die Ausrichtung auf Endnutzer. Ein kompromittiertes Wallet könnte Projektgelder enthalten oder Zugriff auf gesamte Codebasen gewähren. Dies ist kein zufälliger Diebstahl – er ist chirurgisch präzise. Die Angreifer wissen, wo der wahre Wert liegt.
Sofortmaßnahmen laufen
Soclet arbeitet mit Repository-Betreuern zusammen, um bösartige Pakete zu entfernen. Entwickler müssen jetzt ihre Abhängigkeiten überprüfen. Es gibt noch keinen Patch, da Trapdoor sich in legitimen Code-Updates versteckt. Die nächsten 48 Stunden werden zeigen, wie schnell Teams ihre Pipelines bereinigen können.
