Исследователи Soclet на этой неделе обнаружили атаку на цепочку поставок, получившую название Trapdoor, направленную на крипторазработчиков. Вредоносное ПО распространяется через скомпрометированные пакеты в репозиториях npm, PyPI и Crates.io, чтобы похищать ключи от криптовалютных кошельков и секреты разработчиков. В отличие от типичных крипто-мошенничеств, оно целенаправленно избегает обычных пользователей.
Как распространяется Trapdoor
Злоумышленники внедрили вредоносный код в, казалось бы, легитимные библиотеки программного обеспечения. Разработчики, которые устанавливали эти отравленные пакеты без проверки, автоматически активировали вредоносное ПО. Это происходило через доверенные менеджеры пакетов, которыми разработчики пользуются ежедневно.
Что похищается
Вредоносное ПО Trapdoor захватывает ключи от криптовалютных кошельков и конфиденциальные учетные данные разработчиков. Это означает, что казначейские кошельки проектов и внутренние токены безопасности могут быть скомпрометированы. Разработчики могут не осознавать, что их системы транслируют секреты, пока средства не исчезнут.
Почему разработчики в прицеле
Кража у одного разработчика может принести больше, чем нацеливание на конечных пользователей. Один скомпрометированный кошелек может содержать средства проекта или предоставлять доступ ко всей кодовой базе. Это не случайное воровство — это хирургическая операция. Злоумышленники знают, где находятся реальные ценности.
Немедленные действия
Soclet работает с администраторами репозиториев над удалением вредоносных пакетов. Разработчикам необходимо немедленно провести аудит своих зависимостей. Патча пока нет, потому что Trapdoor скрывается в легитимных обновлениях кода. Следующие 48 часов покажут, насколько быстро команды смогут очистить свои конвейеры.
