Soclet-etterforskere avdekket denne uken et forsyningskjedeangrep kalt Trapdoor som retter seg mot kryptoutviklere. Skadevaren spres gjennom kompromitterte pakker på npm, PyPI og Crates.io-biblioteker for å stjele kryptovaluta-lommelnøkler og utviklerhemmeligheter. I motsetning til typiske kryptosvindler, unngår den spesifikt vanlige brukere.
Slik sprer Trapdoor seg
Angripere injiserte ondsinnet kode i tilsynelatende legitime programvarebiblioteker. Utviklere som installerte disse forgiftede pakkene uten verifisering, aktiverte skadevaren automatisk. Det skjedde gjennom pålitelige pakkebehandlere som utviklere bruker daglig.
Hva blir stjålet
Trapdoor-skadevaren henter kryptovaluta-lommelnøkler og sensitive utviklerlegitimasjoner. Det betyr at prosjektets lommebøker og interne sikkerhetstokener kan bli kompromittert. Utviklere oppdager kanskje ikke at systemene deres kringkaster hemmeligheter før midler forsvinner.
Hvorfor utviklere er i søkelyset
Å stjele fra én enkelt utvikler kan gi mer utbytte enn å målrette sluttbrukere. Én kompromittert lommebok kan inneholde prosjektmidler eller gi tilgang til hele kodebaser. Dette er ikke tilfeldig tyveri – det er kirurgisk. Angriperne vet hvor den virkelige verdien ligger.
Tiltak igangsatt
Soclet samarbeider med bibliotekvedlikeholdere for å fjerne ondsinnede pakker. Utviklere må gjennomgå sine avhengigheter nå. Det finnes ingen oppdatering ennå fordi Trapdoor gjemmer seg i legitime kodeoppdateringer. De neste 48 timene vil teste hvor raskt team kan rense sine pipelines.
