Onderzoekers van Soclet hebben deze week een supply chain-aanval genaamd Trapdoor ontdekt, die zich richt op crypto-ontwikkelaars. De malware verspreidt zich via gecompromitteerde pakketten in de npm-, PyPI- en Crates.io-repositories om cryptowallet-sleutels en ontwikkelaarsgeheimen te stelen. In tegenstelling tot typische cryptoscams vermijdt het gericht alledaagse gebruikers.
Hoe Trapdoor zich verspreidt
Aanvallers injecteerden kwaadaardige code in ogenschijnlijk legitieme softwarebibliotheken. Ontwikkelaars die deze vergiftigde pakketten zonder verificatie installeerden, activeerden de malware automatisch. Het gebeurde via vertrouwde pakketbeheerders die ontwikkelaars dagelijks gebruiken.
Wat er wordt gestolen
De Trapdoor-malware steelt cryptowallet-sleutels en gevoelige ontwikkelingsgegevens. Dat betekent dat projecttreasury-wallets en interne beveiligingstokens gecompromitteerd kunnen raken. Ontwikkelaars realiseren zich mogelijk niet dat hun systemen geheimen uitzenden totdat er fondsen verdwijnen.
Waarom ontwikkelaars in het vizier zijn
Stelen van een enkele ontwikkelaar kan meer opleveren dan het targeten van eindgebruikers. Een gecompromitteerde wallet kan projectfondsen bevatten of toegang geven tot volledige codebases. Dit is geen willekeurige diefstal—het is chirurgisch. De aanvallers weten waar de echte waarde zit.
Directe maatregelen worden genomen
Soclet werkt samen met repositorybeheerders om kwaadaardige pakketten te verwijderen. Ontwikkelaars moeten nu hun afhankelijkheden controleren. Er is nog geen patch omdat Trapdoor zich verbergt in legitieme code-updates. De komende 48 uur zullen testen hoe snel teams hun pipelines kunnen opschonen.
