Sebuah serangan rantai pasokan baru yang dijuluki 'TrapDoor' menargetkan pengembang kripto dengan menanam paket berbahaya yang membajak asisten coding AI populer, menurut laporan yang diterbitkan minggu ini oleh perusahaan keamanan rantai pasokan perangkat lunak Socket. Kampanye ini menyedot cryptocurrency langsung dari dompet korban, mengeksploitasi kepercayaan yang diberikan pengembang pada alat coding otomatis.
Cara Kerja TrapDoor
Peneliti Socket mengidentifikasi sekumpulan paket berbahaya yang diunggah ke repositori publik. Setelah terinstal, malware menyuntikkan instruksi tersembunyi ke dalam keluaran asisten coding AI — alat yang diandalkan banyak pengembang untuk saran dan pelengkapan otomatis. Instruksi tersebut kemudian mengelabui pengembang untuk menyetujui transaksi atau mengekspos kunci pribadi, secara efektif mengubah asisten AI menjadi vektor pencurian.
Kampanye ini tidak samar tentang targetnya: paket-paket tersebut dirancang khusus untuk berinteraksi dengan lingkungan pengembangan kripto. Socket mengatakan malware memeriksa perangkat lunak dompet dan pustaka blockchain umum sebelum aktif.
Mengapa Alat AI Menjadi Target Baru
Dengan membajak asisten AI itu sendiri, TrapDoor melewati mekanisme peninjauan kode tradisional. Seorang pengembang melihat saran yang tampak normal, menerimanya, dan asisten tersebut menjalankan muatan penyerang. Serangan ini tidak memerlukan eksploitasi zero-day pada alat AI — hanya menipu manusia yang mempercayainya.
Laporan Socket tidak menyebutkan asisten coding AI mana yang terpengaruh, tetapi teknik ini berfungsi pada asisten mana pun yang memproses paket yang diinstal pengguna. Perusahaan memperingatkan bahwa serangan bisa tidak terdeteksi sampai dana habis terkuras.
Yang Dapat Dilakukan Pengembang Sekarang
Socket merekomendasikan untuk mengaudit semua dependensi yang diinstal dalam 30 hari terakhir, terutama paket yang terkait dengan integrasi dompet atau penandatanganan transaksi. Mereka juga menyarankan untuk menonaktifkan saran terima otomatis dari asisten coding sampai inventaris lengkap selesai. Perusahaan telah menerbitkan daftar nama paket berbahaya yang diketahui di blognya.
Serangan ini menekankan risiko yang semakin besar: seiring pengembang kripto lebih mengandalkan alat AI, rantai pasokan menjadi target yang lebih lunak. TrapDoor adalah kampanye pertama yang didokumentasikan secara publik yang mempersenjatai asisten coding AI untuk pencurian kripto, tetapi ini bukan yang terakhir.
