นักวิจัยของ Soclet เปิดเผยการโจมตีห่วงโซ่อุปทานที่เรียกว่า Trapdoor ซึ่งกำหนดเป้าหมายนักพัฒนาคริปโตในสัปดาห์นี้ มัลแวร์แพร่กระจายผ่านแพ็คเกจที่ถูกบุกรุกในคลัง npm, PyPI และ Crates.io เพื่อขโมยคีย์กระเป๋าคริปโตเคอร์เรนซีและความลับของนักพัฒนา แตกต่างจากการหลอกลวงคริปโตทั่วไป โดยมันหลีกเลี่ยงผู้ใช้ทั่วไปโดยเฉพาะ
วิธีที่ Trapdoor แพร่กระจาย
ผู้โจมตีฉีดโค้ดที่เป็นอันตรายลงในไลบรารีซอฟต์แวร์ที่ดูเหมือนถูกต้องตามกฎหมาย นักพัฒนาที่ติดตั้งแพ็คเกจที่ถูกวางยาพิษเหล่านี้โดยไม่ตรวจสอบจะเปิดใช้งานมัลแวร์โดยอัตโนมัติ มันเกิดขึ้นผ่านตัวจัดการแพ็คเกจที่นักพัฒนาใช้งานทุกวัน
สิ่งที่ถูกขโมย
มัลแวร์ Trapdoor เก็บรวบรวมคีย์กระเป๋าคริปโตเคอร์เรนซีและข้อมูลประจำตัวด้านการพัฒนาที่ละเอียดอ่อน ซึ่งหมายความว่ากระเป๋าเงินคลังของโครงการและโทเค็นความปลอดภัยภายในอาจถูกบุกรุก นักพัฒนาอาจไม่รู้ว่าระบบของตนกำลังแพร่กระจายความลับจนกว่าเงินจะหายไป
เหตุใดนักพัฒนาจึงตกเป็นเป้าหมาย
การขโมยจากนักพัฒนาคนเดียวสามารถให้ผลตอบแทนมากกว่าการกำหนดเป้าหมายผู้ใช้ปลายทาง กระเป๋าเงินที่ถูกบุกรุกหนึ่งใบอาจถือเงินทุนของโครงการหรือให้สิทธิ์เข้าถึงฐานโค้ดทั้งหมด นี่ไม่ใช่การขโมยแบบสุ่ม—มันเป็นการผ่าตัดที่แม่นยำ ผู้โจมตีรู้ว่าคุณค่าที่แท้จริงอยู่ที่ไหน
การดำเนินการเร่งด่วนที่กำลังดำเนินการ
Soclet กำลังร่วมมือกับผู้ดูแลคลังเพื่อลบแพ็คเกจที่เป็นอันตราย นักพัฒนาจำเป็นต้องตรวจสอบการพึ่งพาของตนทันที ยังไม่มีแพตช์เนื่องจาก Trapdoor ซ่อนตัวอยู่ในการอัปเดตโค้ดที่ถูกต้อง 48 ชั่วโมงข้างหน้าจะทดสอบว่าทีมงานสามารถทำความสะอาดไปป์ไลน์ของตนได้เร็วแค่ไหน
