การโจมตีห่วงโซ่อุปทานรูปแบบใหม่ที่เรียกว่า 'TrapDoor' กำลังมุ่งเป้าไปที่นักพัฒนาคริปโต โดยการฝังแพ็กเกจอันตรายที่ใช้ประโยชน์จากผู้ช่วยเขียนโค้ด AI ยอดนิยม ตามรายงานที่เผยแพร่ในสัปดาห์นี้โดย Socket ซึ่งเป็นบริษัทรักษาความปลอดภัยห่วงโซ่อุปทานซอฟต์แวร์ แคมเปญนี้จะดูดสกุลเงินดิจิทัลโดยตรงจากกระเป๋าเงินของเหยื่อ โดยใช้ประโยชน์จากความไว้วางใจที่นักพัฒนามีต่อเครื่องมือเขียนโค้ดอัตโนมัติ
วิธีการทำงานของ TrapDoor
นักวิจัยของ Socket ระบุกลุ่มแพ็กเกจอันตรายที่ถูกอัปโหลดไปยังคลังเก็บสาธารณะ เมื่อติดตั้งแล้ว มัลแวร์จะแทรกคำสั่งที่ซ่อนอยู่ลงในผลลัพธ์ของผู้ช่วยเขียนโค้ด AI ซึ่งเป็นเครื่องมือที่นักพัฒนาจำนวนมากใช้สำหรับคำแนะนำและการเติมข้อความอัตโนมัติ จากนั้นคำสั่งดังกล่าวจะหลอกให้นักพัฒนาอนุมัติธุรกรรมหรือเปิดเผยคีย์ส่วนตัว ทำให้ผู้ช่วย AI กลายเป็นช่องทางในการขโมย
แคมเปญนี้ไม่ได้ปกปิดเป้าหมาย: แพ็กเกจถูกออกแบบมาโดยเฉพาะเพื่อโต้ตอบกับสภาพแวดล้อมการพัฒนาคริปโต Socket ระบุมัลแวร์จะตรวจสอบซอฟต์แวร์กระเป๋าเงินและไลบรารีบล็อกเชนทั่วไปก่อนที่จะทำงาน
เหตุใดเครื่องมือ AI จึงเป็นเป้าหมายใหม่
ด้วยการใช้ประโยชน์จากผู้ช่วย AI เอง TrapDoor จึงหลีกเลี่ยงมาตรการตรวจสอบโค้ดแบบดั้งเดิม นักพัฒนาเห็นคำแนะนำที่ดูปกติ ยอมรับมัน แล้วผู้ช่วยก็ดำเนินการเพย์โหลดของผู้โจมตี การโจมตีไม่จำเป็นต้องใช้ประโยชน์จากช่องโหว่ซีโรเดย์ในเครื่องมือ AI เพียงแค่หลอกมนุษย์ที่ไว้วางใจมัน
รายงานของ Socket ไม่ได้ระบุว่าผู้ช่วยเขียนโค้ด AI ตัวใดได้รับผลกระทบ แต่เทคนิคนี้ใช้ได้กับผู้ช่วยใดๆ ที่ประมวลผลแพ็กเกจที่ผู้ใช้ติดตั้ง บริษัทเตือนว่าการโจมตีอาจไม่มีใครสังเกตจนกว่าเงินจะถูกถอนออก
สิ่งที่นักพัฒนาสามารถทำได้ตอนนี้
Socket แนะนำให้ตรวจสอบ dependencies ทั้งหมดที่ติดตั้งในช่วง 30 วันที่ผ่านมา โดยเฉพาะแพ็กเกจที่เกี่ยวข้องกับการรวมกระเป๋าเงินหรือการลงนามธุรกรรม นอกจากนี้ยังแนะนำให้ปิดการยอมรับคำแนะนำอัตโนมัติจากผู้ช่วยเขียนโค้ดจนกว่าจะทำรายการครบถ้วน บริษัทได้เผยแพร่รายชื่อชื่อแพ็กเกจอันตรายที่ทราบแล้วในบล็อกของตน
การโจมตีครั้งนี้เน้นย้ำถึงความเสี่ยงที่เพิ่มขึ้น: เมื่อนักพัฒนาคริปโตพึ่งพาเครื่องมือ AI มากขึ้น ห่วงโซ่อุปทานก็กลายเป็นเป้าหมายที่อ่อนแอลง TrapDoor เป็นแคมเปญที่ถูกบันทึกเป็นครั้งแรกที่ใช้อาวุธจากผู้ช่วยเขียนโค้ด AI เพื่อขโมยคริปโต แต่มันจะไม่ใช่ครั้งสุดท้าย
