Serangan rantaian bekalan baharu yang digelar 'TrapDoor' menyasarkan pembangun kripto dengan menanam pakej berniat jahat yang merampas pembantu pengekodan AI yang popular, menurut laporan yang diterbitkan minggu ini oleh firma keselamatan rantaian bekalan perisian Socket. Kempen ini mencuri mata wang kripto terus dari dompet mangsa, mengeksploitasi kepercayaan yang diberikan pembangun kepada alat pengekodan automatik.
Cara TrapDoor berfungsi
Penyelidik Socket mengenal pasti sekumpulan pakej berniat jahat yang dimuat naik ke repositori awam. Setelah dipasang, perisian hasad menyuntik arahan tersembunyi ke dalam output pembantu pengekodan AI — alat yang sering digunakan oleh pembangun untuk cadangan dan pelengkapan automatik. Arahan tersebut kemudian memperdaya pembangun untuk meluluskan transaksi atau mendedahkan kunci peribadi, secara efektif menjadikan pembantu AI sebagai vektor untuk kecurian.
Kempen ini tidak cuba menyembunyikan sasarannya: pakej-pakej tersebut direka khusus untuk berinteraksi dengan persekitaran pembangunan kripto. Socket menyatakan bahawa perisian hasad memeriksa perisian dompet dan pustaka blok rantai biasa sebelum diaktifkan.
Mengapa alat AI menjadi sasaran baharu
Dengan merampas pembantu AI itu sendiri, TrapDoor memintas langkah keselamatan semakan kod tradisional. Seorang pembangun melihat cadangan yang kelihatan normal, menerimanya, dan pembantu AI melaksanakan muatan penyerang. Serangan ini tidak memerlukan mengeksploitasi zero-day dalam alat AI — hanya memperdaya manusia yang mempercayainya.
Laporan Socket tidak menyatakan pembantu pengekodan AI mana yang terjejas, tetapi teknik ini berfungsi pada mana-mana pembantu yang memproses pakej yang dipasang oleh pengguna. Syarikat itu memberi amaran bahawa serangan mungkin tidak disedari sehingga dana dikosongkan.
Apa yang boleh dilakukan oleh pembangun sekarang
Socket mengesyorkan mengaudit semua kebergantungan yang dipasang dalam 30 hari lepas, terutamanya pakej yang berkaitan dengan integrasi dompet atau penandatanganan transaksi. Mereka juga menasihatkan untuk melumpuhkan cadangan auto-terima daripada pembantu pengekodan sehingga inventori penuh selesai. Syarikat itu telah menerbitkan senarai nama pakej berniat jahat yang diketahui di blognya.
Serangan ini menekankan risiko yang semakin meningkat: apabila pembangun kripto lebih bergantung pada alat AI, rantaian bekalan menjadi sasaran yang lebih lembut. TrapDoor adalah kempen pertama yang didokumenkan secara terbuka yang menggunakan pembantu pengekodan AI untuk kecurian kripto, tetapi ia bukan yang terakhir.
