Śledczy Soclet odkryli atak łańcucha dostaw nazwany Trapdoor, który w tym tygodniu celował w programistów kryptowalutowych. Złośliwe oprogramowanie rozprzestrzenia się poprzez zainfekowane pakiety w repozytoriach npm, PyPI i Crates.io, aby kradnąć klucze portfeli kryptowalutowych oraz poufne dane programistów. W przeciwieństwie do typowych oszustw kryptowalutowych, celowo pomija zwykłych użytkowników.
Jak rozprzestrzenia się Trapdoor
Napastnicy wprowadzili złośliwy kod do pozornie legalnych bibliotek oprogramowania. Programiści, którzy zainstalowali te zatrute pakiety bez weryfikacji, automatycznie aktywowali złośliwe oprogramowanie. Dzieje się to poprzez zaufane menedżery pakietów, z których programiści korzystają codziennie.
Co jest kradzione
Złośliwe oprogramowanie Trapdoor przejmuje klucze portfeli kryptowalutowych oraz poufne dane uwierzytelniające z procesu rozwoju. Oznacza to, że portfele skarbu projektu i wewnętrzne tokeny bezpieczeństwa mogą zostać skompromitowane. Programiści mogą nie zdawać sobie sprawy, że ich systemy przekazują tajne informacje, dopóki środki nie znikną.
Dlaczego programiści są celem
Kradzież z jednego programisty może przynieść więcej niż atak na zwykłych użytkowników. Jeden skompromitowany portfel może zawierać środki projektu lub zapewniać dostęp do całego kodu źródłowego. To nie jest przypadkowa kradzież — jest to precyzyjny zabieg. Napastnicy wiedzą, gdzie znajduje się prawdziwa wartość.
Natychmiastowe działania
Soclet współpracuje z administratorami repozytoriów w celu usunięcia złośliwych pakietów. Programiści muszą natychmiast przeprowadzić audyt swoich zależności. Nie ma jeszcze poprawki, ponieważ Trapdoor ukrywa się w legalnych aktualizacjach kodu. Następne 48 godzin sprawdzą, jak szybko zespoły będą w stanie wyczyścić swoje potoki.
