今週、Socletの調査担当者が暗号資産開発者を標的としたサプライチェーン攻撃「Trapdoor」を発見しました。このマルウェアは、npm、PyPI、Crates.ioの各リポジトリで侵害されたパッケージを通じて拡散し、暗号資産ウォレットの鍵や開発者シークレットを盗みます。一般的な暗号資産詐欺とは異なり、一般ユーザーは標的から外されています。
Trapdoorの拡散方法
攻撃者は一見正規のソフトウェアライブラリに悪意のあるコードを組み込みました。確認せずにこれらの毒されたパッケージをインストールした開発者は、自動的にマルウェアを作動させました。これは開発者が日常的に使用する信頼されたパッケージマネージャーを通じて行われました。
盗まれるもの
Trapdoorマルウェアは、暗号資産ウォレットの鍵と機密性の高い開発資格情報を取得します。つまり、プロジェクトの財務ウォレットや内部セキュリティトークンが危険にさらされる可能性があります。開発者は、資金が消えるまで自分のシステムが秘密を漏洩していることに気づかないかもしれません。
開発者が標的とされる理由
一人の開発者から盗むことは、エンドユーザーを標的にするよりも多くの利益を得られる可能性があります。侵害された一つのウォレットにはプロジェクト資金が含まれていたり、コードベース全体へのアクセス権が与えられたりするかもしれません。これは無作為な盗難ではなく、外科手術のようなものです。攻撃者は真の価値がどこにあるかを知っています。
進行中の即時対応
Socletはリポジトリ管理者と協力し、悪意のあるパッケージの削除を進めています。開発者は今すぐ依存関係を監査する必要があります。Trapdoorは正規のコード更新に潜んでいるため、まだパッチはありません。今後の48時間で、各チームがパイプラインをどれだけ迅速にクリーンアップできるかが試されます。
