Soclet-tutkijat paljastivat tällä viikolla Trapdoor-nimisen toimitusketjuhyökkäyksen, joka kohdistuu kryptokehittäjiin. Haittaohjelma leviää vaarantuneiden pakettien kautta npm-, PyPI- ja Crates.io-varastoissa varastaakseen kryptolompakkoavaimia ja kehittäjäsalaisuuksia. Toisin kuin tyypilliset kryptohuijaukset, se välttää erityisesti tavallisia käyttäjiä.
Näin Trapdoor leviää
Hyökkääjät lisäsivät haitallista koodia näennäisesti laillisiin ohjelmistokirjastoihin. Kehittäjät, jotka asensivat nämä saastutetut paketit tarkistamatta niitä, aktivoivat haittaohjelman automaattisesti. Se tapahtui luotettujen paketinhallintaohjelmien kautta, joita kehittäjät käyttävät päivittäin.
Mitä varastetaan
Trapdoor-haittaohjelma varastaa kryptolompakkoavaimia ja arkaluonteisia kehitystunnistetietoja. Tämä tarkoittaa, että projektin rahastolompakot ja sisäiset tietoturvatunnukset voivat vaarantua. Kehittäjät eivät välttämättä huomaa, että heidän järjestelmänsä lähettävät salaisuuksia eteenpäin ennen kuin varoja katoaa.
Miksi kehittäjät ovat tähtäimessä
Yhdeltä kehittäjältä varastaminen voi tuottaa enemmän kuin loppukäyttäjiin kohdistuminen. Yksi vaarantunut lompakko saattaa sisältää projektin varoja tai antaa pääsyn kokonaisiin koodikantoihin. Tämä ei ole satunnaista varkautta – se on tarkkaa. Hyökkääjät tietävät, missä todellinen arvo sijaitsee.
Välittömät toimenpiteet käynnissä
Soclet tekee yhteistyötä varastojen ylläpitäjien kanssa haitallisten pakettien poistamiseksi. Kehittäjien on tarkistettava riippuvuutensa nyt. Korjausta ei ole vielä olemassa, koska Trapdoor piiloutuu laillisiin ohjelmistopäivityksiin. Seuraavat 48 tuntia testaavat, kuinka nopeasti tiimit voivat puhdistaa putkistonsa.
