מתקפת שרשרת אספקה חדשה בשם 'TrapDoor' מכוונת למפתחי קריפטו על ידי שתילת חבילות זדוניות החוטפות עוזרי קידוד בינה מלאכותית פופולריים, כך לפי דוח שפורסם השבוע על ידי חברת אבטחת שרשרת האספקה Socket. המתקפה שואבת מטבעות קריפטו ישירות מארנקי הקורבנות, ומנצלת את האמון שמפתחים נותנים בכלי קידוד אוטומטיים.
כיצד TrapDoor פועל
חוקרי Socket זיהו אשכול של חבילות זדוניות שהועלו למאגרים ציבוריים. לאחר ההתקנה, התוכנה הזדונית מטמיעה הוראות נסתרות בפלט של עוזרי קידוד בינה מלאכותית — כלים שמפתחים רבים מסתמכים עליהם להצעות והשלמה אוטומטית. הוראות אלו מרמות את המפתח לאשר עסקאות או לחשוף מפתחות פרטיים, ובכך הופכות את העוזר החכם לכלי לגניבה.
הקמפיין אינו עדין לגבי מטרתו: החבילות מתוכננות במיוחד לאינטראקציה עם סביבות פיתוח קריפטו. Socket מסרה שהתוכנה הזדונית בודקת נוכחות של תוכנות ארנק וספריות בלוקצ'יין נפוצות לפני ההפעלה.
מדוע כלי בינה מלאכותית הם היעד החדש
על ידי חטיפת העוזר החכם עצמו, TrapDoor עוקף מנגנוני סקירת קוד מסורתיים. מפתח רואה הצעה שנראית רגילה, מאשר אותה, והעוזר מבצע את המטען של התוקף. המתקפה אינה דורשת ניצול של פרצת יום אפס בכלי הבינה המלאכותית — אלא רק הטעיית האדם שסומך עליו.
הדוח של Socket אינו מציין אילו עוזרי קידוד בינה מלאכותית נפגעו, אך הטכניקה פועלת על כל עוזר שמעבד חבילות שהותקנו על ידי המשתמש. החברה הזהירה שהמתקפה עלולה להיעלם מעיניו עד שהכספים ינוקזו.
מה מפתחים יכולים לעשות כעת
Socket ממליצה לבקר את כל התלויות (dependencies) שהותקנו ב-30 הימים האחרונים, במיוחד חבילות הקשורות לשילוב ארנקים או חתימת עסקאות. הם גם ממליצים להשבית הצעות קבלה אוטומטית מעוזרי קידוד עד לביצוע מלאי מלא. החברה פרסמה רשימה של שמות חבילות זדוניות ידועות בבלוג שלה.
המתקפה מדגישה סיכון הולך וגדל: ככל שמפתחי קריפטו מסתמכים יותר על כלי בינה מלאכותית, שרשרת האספקה הופכת למטרה רכה יותר. TrapDoor הוא הקמפיין המתועד הראשון שמנשק עוזרי קידוד בינה מלאכותית לגניבת קריפטו, אך הוא לא יהיה האחרון.
