I ricercatori di Soclet hanno scoperto un attacco alla catena di fornitura chiamato Trapdoor che prende di mira gli sviluppatori crypto questa settimana. Il malware si diffonde attraverso pacchetti compromessi sui repository npm, PyPI e Crates.io per rubare le chiavi dei portafogli di criptovalute e i segreti degli sviluppatori. A differenza delle tipiche truffe crypto, evita specificamente gli utenti comuni.
Come si diffonde Trapdoor
Gli aggressori hanno iniettato codice dannoso in librerie software apparentemente legittime. Gli sviluppatori che hanno installato questi pacchetti avvelenati senza verifica hanno attivato automaticamente il malware. È successo attraverso i gestori di pacchetti fidati che gli sviluppatori usano quotidianamente.
Cosa viene rubato
Il malware Trapdoor cattura le chiavi dei portafogli di criptovalute e le credenziali sensibili di sviluppo. Ciò significa che i portafogli di tesoreria del progetto e i token di sicurezza interni potrebbero essere compromessi. Gli sviluppatori potrebbero non rendersi conto che i loro sistemi stanno trasmettendo segreti fino a quando i fondi non scompaiono.
Perché gli sviluppatori sono nel mirino
Rubare da un singolo sviluppatore può fruttare più che prendere di mira gli utenti finali. Un singolo portafoglio compromesso potrebbe contenere fondi di progetto o concedere accesso a intere codebase. Non è un furto casuale: è chirurgico. Gli aggressori sanno dove si trova il vero valore.
Azioni immediate in corso
Soclet sta collaborando con i manutentori dei repository per rimuovere i pacchetti dannosi. Gli sviluppatori devono ora verificare le loro dipendenze. Non c'è ancora una patch perché Trapdoor si nasconde negli aggiornamenti di codice legittimi. Le prossime 48 ore metteranno alla prova la velocità con cui i team possono ripulire le loro pipeline.
