A Soclet nyomozói a héten felfedeztek egy Trapdoor névre keresztelt ellátási lánc elleni támadást. A kártevő npm, PyPI és Crates.io csomagtárakból származó fertőzött csomagokon keresztül terjed, és kriptovaluta tárcakulcsokat, valamint fejlesztői titkokat lop. Ellentétben a tipikus kriptocsalásokkal, ez kifejezetten elkerüli a hétköznapi felhasználókat.
Hogyan terjed a Trapdoor
A támadók rosszindulatú kódot injektáltak látszólag legitim szoftverkönyvtárakba. Azok a fejlesztők, akik ellenőrzés nélkül telepítették ezeket a fertőzött csomagokat, automatikusan aktiválták a kártevőt. Ez a fejlesztők által naponta használt megbízható csomagkezelőkön keresztül történt.
Mit lop el
A Trapdoor kártevő kriptovaluta tárcakulcsokat és érzékeny fejlesztői hitelesítő adatokat szerez meg. Ez azt jelenti, hogy a projektek pénztárcái és belső biztonsági tokenjei is veszélybe kerülhetnek. A fejlesztők nem is biztos, hogy észreveszik, hogy rendszereik titkokat sugároznak, amíg a pénz el nem tűnik.
Miért a fejlesztők a célkeresztben
Egyetlen fejlesztőtől lopni nagyobb hozammal járhat, mint a végfelhasználókat célozni. Egy feltört tárcában lehetnek projektpénzek, vagy hozzáférést biztosíthat teljes kódalapokhoz. Ez nem véletlenszerű lopás – ez sebészi pontosságú. A támadók tudják, hol van a valódi érték.
Azonnali lépések
A Soclet együttműködik a csomagtárak karbantartóival a rosszindulatú csomagok eltávolításában. A fejlesztőknek most azonnal auditálniuk kell függőségeiket. Még nincs javítás, mivel a Trapdoor legitim kód frissítésekben bújik meg. A következő 48 óra megmutatja, milyen gyorsan tudják a csapatok megtisztítani a folyamataikat.
