Hetuesit e Soclet zbuluan këtë javë një sulm në zinxhirin e furnizimit, të quajtur Trapdoor, që synon zhvilluesit e kriptomonedhave. Malware përhapet përmes paketave të komprometuara në repozitoritë npm, PyPI dhe Crates.io për të vjedhur çelësat e kuletave të kriptomonedhave dhe sekretet e zhvilluesve. Ndryshe nga mashtrimet tipike të kriptomonedhave, ai shmang në mënyrë specifike përdoruesit e zakonshëm.
Si përhapet Trapdoor
Sulmuesit injektuan kod të keqdashës në biblioteka softuerike që dukeshin të ligjshme. Zhvilluesit që instaluan këto paketa të helmuara pa verifikim aktivizuan automatikisht malware. Kjo ndodhi përmes menaxherëve të besuar të paketave që zhvilluesit përdorin çdo ditë.
Çfarë vidhet
Malware Trapdoor kap çelësat e kuletave të kriptomonedhave dhe kredencialet e ndjeshme të zhvillimit. Kjo do të thotë që kuletat e thesarit të projekteve dhe tokenat e brendshëm të sigurisë mund të komprometohen. Zhvilluesit mund të mos e kuptojnë se sistemet e tyre po transmetojnë sekrete derisa fondet të zhduken.
Pse zhvilluesit janë në shënjestër
Vjedhja nga një zhvillues i vetëm mund të sjellë më shumë sesa synimi i përdoruesve fundorë. Një kuletë e komprometuar mund të mbajë fondet e projektit ose të japë akses në të gjithë kodet burimore. Kjo nuk është vjedhje e rastësishme - është kirurgjikale. Sulmuesit e dinë se ku qëndron vlera e vërtetë.
Veprime të menjëhershme në vazhdim
Soclet po punon me mirëmbajtësit e repozitorive për të hequr paketat e keqdashëse. Zhvilluesit duhet të auditojnë varësitë e tyre tani. Ende nuk ka asnjë patch sepse Trapdoor fshihet në përditësime legjitime të kodit. 48 orët e ardhshme do të tregojnë se sa shpejt mund të pastrojnë ekipet tubacionet e tyre.
