Платформа Socket повідомила про атаку на цепочку поставок для розробників кріптовалют та ІІ-систем.
Ухар 🚨: Активна атака в мережах npm, PyPI та Crates.io.
Socket виявила TrapDoor, кампанію по викраданню криптовалют, яка потрапила до 34 шкідливих пакетів та 384 версій та артефактів Зловмисники знову і знову випускали нові версії в різних екосистемах.
Шкідливий код спрямований на розробників кріптовалют,, ІІ та систем безпеки
Він викрачає дані з кишенькових кошельків, облікових записів в хмільних послугах, розширень браузерів, токенів GitHub, а також SSH- та API-ключів.
Атака включає популярні кріптовалюти, такі як Coinbase, Binance, Solana, Sui, Aptos та MetaMask, а також інтернет-браузер Brave.
Технічні особливості коду передбачають встановлення хакерських інструкцій для захоплення ІІ-помічника «захвату програми» типу Claude і Cursor.
«Мета полягає в тому, щоб обманом змусити LLM-ассистентів виконати “сканування безпеки” або подібний робочий процес, який призведе до виявлення та викрасти секретну інформацію», — повідомили в Socket.
TrapDoor спеціально спрямований на популярні ресурси для розробників, такі як npm, PyPI та Crates.
Частина npm-пакетів встановлювала загальний модуль, який шукав секретні дані розробників Зафіксовані спроби закріплення в системі через завдання планувальника, служби та механізми автозапуску.
У пакетах для Rust виявлені спроби пошуку місцевих хранилищ ключів з подальшою передачею даних через GitHub Gists
У Python-пакетах код завантажувався з зовнішнього домену та виконувався через Node.js, що дозволяло змінювати поведінку без публікації нової версії.
Socket порадила вважати середовище зі встановленими такими пакетами потенційно підданими до компрометації, змінити ключі та токени та перевірити систему на наявність механізмів закріплення Простого видалення програмного компонента недостатньо.
«Назви шкідливих модулів складені так, щоб виглядати як допоміжні засоби для розробників, інструменти налаштування проєктів, утиліти маршрутизації моделей, пакети інженерії промптов, рішення для Solidity або асистенти для збірки Sui і Move», — розповіли експерти Socket.
GitHub використовувався для розповсюдження шкідливих пакетів
Атака здійснювалася за допомогою ІІ.
Сам сервіс 20 травня — хакери отримали доступ до 3800 внутрішніх репозиторіїв.
За інформацією проєкту Glasswing — програми пошуку уразливостей за допомогою моделі Claude Mythos.
https://forklog.com/news/ai/mnenie-ii-i-kvantovye-tehnologii-postavyat-pod-ugrozu-bezopasnost-kompanij
За матеріалами ForkLog