Плохие новости для всех разработчиков криптовалют и ИИ-систем! 💰
Платформа Socket обнаружила уникальную атаку на цепочку поставок для разработчиков, целью которой является кража цифровых активов и данных.
Атака получила название TrapDoor и направлена на распространение вредоносных пакетов через популярные ресурсы для разработчиков, такие как npm, PyPI и Crates.io Вредоносное ПО нацелено на кражу данных кошельков, аккаунтов в облачных сервисах, расширений браузеров и токенов GitHub.
🚨 TrapDoor — это специально разработанная кампания по краже цифровых активов и данных разработчиков криптовалют, ИИ и систем безопасности
Атака включает популярные криптовалютные кошельки, в том числе Coinbase, Binance, Solana, Sui, Aptos и MetaMask, а также интернет-браузер Brave.
Вредоносное ПО нацелено на кражу секретных данных разработчиков, включая ключи SSH и API Атака включает и популярные ресурсы для разработчиков, такие как npm, PyPI и Crates.io.
Технические детали вредоносного ПО включают в себя скрытые инструкции для «захвата ИИ-помощника по программированию» вроде Claude и Cursor.
«Цель состоит в том, чтобы обманом заставить LLM-ассистентов запустить “сканирование безопасности” или аналогичный рабочий процесс, который приводит к обнаружению и краже секретной информации», — сообщили в Socket.
По словам экспертов Socket, вредоносное ПО нацелено на кражу данных разработчиков через популярные ресурсы для разработчиков.
Часть npm-пакетов устанавливала общий модуль, который искал секретные данные разработчиков
Зафиксированы попытки закрепления в системе через задачи планировщика, сервисы и механизмы автозапуска.
В пакетах для Rust обнаружен поиск локальных хранилищ ключей с последующей отправкой данных через GitHub Gists В Python-пакетах код подгружался с внешнего домена и выполнялся через Node.js, что позволяло менять поведение без публикации новой версии.
Socket рекомендует считать среду с установленными такими пакетами потенциально скомпрометированной, провести смену ключей и токенов и проверить систему на механизмы закрепления.
«Названия вредоносных модулей составлены таким образом, чтобы выглядеть как помощники для разработчиков, инструменты настройки проектов, утилиты маршрутизации моделей, пакеты для инжиниринга промптов, решения для Solidity или ассистенты для сборки Sui и Move», — рассказали эксперты Socket.
GitHub использовался для распространения вредоносных пакетов
Атака осуществлялась с помощью ИИ.
Сам сервис 20 мая — хакеры получили доступ к 3800 внутренних репозиториев.
По Project Glasswing — программе поиска уязвимостей с помощью модели Claude Mythos.
По материалам ForkLog