Soclet-utredare avslöjade denna vecka en supply chain-attack kallad Trapdoor som riktar sig mot kryptoutvecklare. Den skadliga koden sprids via komprometterade paket på npm-, PyPI- och Crates.io-förråd för att stjäla nycklar till kryptovaluta-plånböcker och utvecklarhemligheter. Till skillnad från typiska kryptobedrägerier undviker den specifikt vanliga användare.
Hur Trapdoor sprids
Angripare injicerade skadlig kod i skenbart legitima programvarubibliotek. Utvecklare som installerade dessa förgiftade paket utan verifiering aktiverade den skadliga koden automatiskt. Det skedde genom betrodda pakethanterare som utvecklare använder dagligen.
Vad som stjäls
Skadlig kod från Trapdoor fångar upp nycklar till kryptoplånböcker och känsliga utvecklaruppgifter. Det innebär att projektets treasury-plånböcker och interna säkerhetstokens kan bli komprometterade. Utvecklare kanske inte märker att deras system sänder ut hemligheter förrän medel försvinner.
Varför utvecklare är i skottgluggen
Att stjäla från en enda utvecklare kan ge mer än att rikta sig mot slutanvändare. En komprometterad plånbok kan innehålla projektmedel eller ge tillgång till hela kodbaser. Detta är ingen slumpmässig stöld – det är kirurgiskt. Angriparna vet var det verkliga värdet finns.
Omedelbara åtgärder pågår
Soclet arbetar med förrådsförvaltare för att ta bort skadliga paket. Utvecklare måste granska sina beroenden nu. Det finns ingen patch ännu eftersom Trapdoor gömmer sig i legitima koduppdateringar. De kommande 48 timmarna kommer att testa hur snabbt teamen kan rensa sina pipelines.
