Цього тижня дослідники Soclet виявили атаку на ланцюг постачання під назвою Trapdoor, яка націлена на розробників криптовалют. Шкідливе програмне забезпечення поширюється через скомпрометовані пакети в репозиторіях npm, PyPI та Crates.io, щоб викрасти ключі від гаманців криптовалют і секретні дані розробників. На відміну від типових крипто-схем, воно спеціально уникає звичайних користувачів.
Як поширюється Trapdoor
Зловмисники впровадили шкідливий код у, на перший погляд, легітимні програмні бібліотеки. Розробники, які встановлювали ці заражені пакети без перевірки, автоматично активували шкідливе ПЗ. Це сталося через довірені менеджери пакетів, якими розробники користуються щодня.
Що викрадається
Шкідливе ПЗ Trapdoor викрадає ключі від криптовалютних гаманців і конфіденційні облікові дані розробників. Це означає, що скарбниці проектів і внутрішні токени безпеки можуть бути скомпрометовані. Розробники можуть не усвідомлювати, що їхні системи передають секрети до моменту зникнення коштів.
Чому розробники під прицілом
Крадіжка в одного розробника може дати більше, ніж націлення на кінцевих користувачів. Один скомпрометований гаманець може містити кошти проекту або надати доступ до всього кодової бази. Це не випадкова крадіжка — це хірургічна атака. Зловмисники знають, де знаходиться справжня цінність.
Невідкладні заходи
Soclet співпрацює з адміністраторами репозиторіїв, щоб видалити шкідливі пакети. Розробникам необхідно негайно перевірити свої залежності. Виправлення поки немає, оскільки Trapdoor ховається в легітимних оновленнях коду. Наступні 48 годин покажуть, наскільки швидко команди зможуть очистити свої конвеєри.
