Експерти з безпеки компанії Socket Security виявили масштабну шкідливу кампанію під назвою TrapDoor, спрямовану проти розробників у блокчейн-екосистемах Aptos, Sui та Solana. Метою цієї кампанії є компрометація середовищ розробки криптографічних застосунків шляхом крадіжки SSH-ключів, файлів криптогаманців і хмарних облікових даних.
Про це розповідає Бізнес • Медіа
Особливості шкідливої кампанії TrapDoor
Фахівці повідомляють, що зловмисники розмістили понад 34 шкідливі пакети та більше 384 їхніх версій у популярних репозиторіях npm, PyPI та Crates.io. Особливу увагу дослідники звернули на такі пакети, як sui-framework-helpers, move-analyzer-build і sui-move-build-helper, які були опубліковані через Crates.io. Програмне забезпечення TrapDoor призначалося для викрадення критично важливих даних, серед яких SSH-ключі, файли криптогаманців, токени GitHub, облікові дані AWS та бази даних авторизації браузерів із комп’ютерів розробників.
Для зараження використовувалися різні механізми залежно від мов програмування та екосистем: npm-хуки postinstall, імпорти Python та скрипти build.rs для Rust. Це дозволяло шкідливому ПЗ маскуватися під легітимні інструменти в екосистемі програмного забезпечення.
Маскування та підбір назв шкідливих пакетів
Дослідники зазначили, що зловмисники ретельно підбирали назви пакетів, щоб ті нагадували справжні інструменти для розробки у сферах штучного інтелекту, DeFi та блокчейн. Серед прикладів назв, які наводить Socket Security, — crypto-credential-scanner, wallet-security-checker, defi-env-auditor і defi-risk-scanner. Така тактика дозволяла TrapDoor залишатися непоміченим у середовищі розробників, де часто зберігаються хмарні ключі, дані гаманців та інша конфіденційна інформація.
Найраніший із виявлених пакетів, [email protected], було завантажено до PyPI у п’ятницю ввечері. Фахівці відзначають, що нові шкідливі пакети з’являлися хвилями через різні облікові записи, що ускладнювало їх оперативне виявлення та блокування.
«У Socket Security охарактеризували TrapDoor як відносно невелику, але ефективну операцію. Вона розрахована на точкові атаки проти розробників криптографічних і DeFi-застосунків».
Експерти також застерігають, що подібні кампанії стають дедалі поширенішими на тлі зростання інтересу зловмисників до інфраструктури Web3, інструментів штучного інтелекту та розробки блокчейн-застосунків.
