Anchetatorii Soclet au descoperit în această săptămână un atac asupra lanțului de aprovizionare numit Trapdoor care vizează dezvoltatorii crypto. Malware-ul se răspândește prin pachete compromise în depozitele npm, PyPI și Crates.io pentru a fura chei de portofel cryptocurrency și secrete ale dezvoltatorilor. Spre deosebire de escrocheriile crypto tipice, acesta evită în mod special utilizatorii obișnuiți.
Cum se răspândește Trapdoor
Atacatorii au injectat cod malițios în biblioteci software aparent legitime. Dezvoltatorii care au instalat aceste pachete otrăvite fără verificare au activat automat malware-ul. S-a întâmplat prin manageri de pachete de încredere pe care dezvoltatorii îi folosesc zilnic.
Ce se fură
Malware-ul Trapdoor fură chei de portofel cryptocurrency și credențiale sensibile de dezvoltare. Asta înseamnă că portofelele de trezorerie ale proiectelor și token-urile interne de securitate ar putea fi compromise. Dezvoltatorii s-ar putea să nu-și dea seama că sistemele lor transmit secrete până când fondurile dispar.
De ce dezvoltatorii sunt în vizor
Furtul de la un singur dezvoltator poate aduce mai mult decât vizarea utilizatorilor finali. Un portofel compromis poate conține fonduri de proiect sau poate oferi acces la întregi baze de cod. Acesta nu este un furt aleatoriu - este chirurgical. Atacatorii știu unde se află adevărata valoare.
Măsuri imediate în curs
Soclet colaborează cu administratorii depozitelor pentru a elimina pachetele malițioase. Dezvoltatorii trebuie să își auditeze dependențele acum. Nu există încă un patch deoarece Trapdoor se ascunde în actualizări legitime de cod. Următoarele 48 de ore vor testa cât de repede pot echipele să-și curețe conductele.
