חוקרי Soclet חשפו השבוע מתקפת שרשרת אספקה בשם Trapdoor המכוונת למפתחי קריפטו. התוכנה הזדונית מתפשטת דרך חבילות שנפגעו במאגרים npm, PyPI ו-Crates.io כדי לגנוב מפתחות ארנק קריפטו וסודות מפתחים. בניגוד להונאות קריפטו טיפוסיות, היא נמנעת במיוחד ממשתמשים יומיומיים.
איך Trapdoor מתפשט
התוקפים החדירו קוד זדוני לספריות תוכנה שנראו לגיטימיות. מפתחים שהתקינו את החבילות המורעלות הללו ללא אימות הפעילו את התוכנה הזדונית באופן אוטומטי. זה קרה דרך מנהלי חבילות מהימנים שמפתחים משתמשים בהם מדי יום.
מה נגנב
תוכנת Trapdoor הזדונית לוכדת מפתחות ארנק קריפטו ואישורי פיתוח רגישים. המשמעות היא שארנקי אוצר של פרויקטים ואסימוני אבטחה פנימיים עלולים להיפגע. ייתכן שמפתחים לא יבינו שהמערכות שלהם משדרות סודות עד שהכספים ייעלמו.
למה מפתחים נמצאים במרכזה
גניבה ממפתח בודד יכולה להניב יותר מאשר פגיעה במשתמשי קצה. ארנק אחד שנפגע עשוי להכיל כספי פרויקט או להעניק גישה לבסיסי קוד שלמים. זו אינה גניבה אקראית - היא כירורגית. התוקפים יודעים היכן נמצא הערך האמיתי.
פעולות מיידיות בעיצומן
Soclet פועלת יחד עם מנהלי מאגרים להסרת חבילות זדוניות. מפתחים צריכים לבצע ביקורת על התלויות שלהם כעת. עדיין אין תיקון מכיוון ש-Trapdoor מסתתר בעדכוני קוד לגיטימיים. 48 השעות הקרובות יבחנו כמה מהר צוותים יכולים לנקות את הצינורות שלהם.
