Penyiasat Soclet menemui serangan rantaian bekalan yang digelar Trapdoor yang menyasarkan pembangun kripto minggu ini. Perisian hasad ini merebak melalui pakej terkompromi di repositori npm, PyPI, dan Crates.io untuk mencuri kunci dompet mata wang kripto dan rahsia pembangun. Tidak seperti penipuan kripto biasa, ia secara khusus mengelakkan pengguna harian.
Cara Trapdoor Merebak
Penyerang menyuntik kod berniat jahat ke dalam pustaka perisian yang kelihatan sah. Pembangun yang memasang pakej beracun ini tanpa pengesahan mengaktifkan perisian hasad secara automatik. Ia berlaku melalui pengurus pakej yang dipercayai yang digunakan oleh pembangun setiap hari.
Apa yang Dicuri
Perisian hasad Trapdoor meraih kunci dompet mata wang kripto dan kelayakan pembangunan sensitif. Ini bermakna dompet perbendaharaan projek dan token keselamatan dalaman boleh dikompromi. Pembangun mungkin tidak menyedari sistem mereka menyiarkan rahsia sehingga wang hilang.
Mengapa Pembangun Menjadi Sasaran
Mencuri daripada seorang pembangun boleh menghasilkan lebih banyak berbanding menyasarkan pengguna akhir. Satu dompet yang dikompromi mungkin memegang dana projek atau memberi akses kepada keseluruhan pangkalan kod. Ini bukan kecurian rawak—ia dibedah. Penyerang tahu di mana nilai sebenar berada.
Tindakan Segera Sedang Dilaksanakan
Soclet bekerjasama dengan penyelenggara repositori untuk mengalih keluar pakej berniat jahat. Pembangun perlu mengaudit kebergantungan mereka sekarang. Belum ada tampung kerana Trapdoor bersembunyi dalam kemas kini kod yang sah. 48 jam akan datang akan menguji seberapa pantas pasukan dapat membersihkan saluran paip mereka.
