Эксперты по безопасности компании Socket Security обнаружили масштабную вредоносную кампанию под названием TrapDoor, направленную против разработчиков в блокчейн-экосистемах Aptos, Sui и Solana. Целью этой кампании является компрометация сред разработки криптографических приложений путем кражи SSH-ключей, файлов криптокошельков и облачных учетных данных.
Об этом сообщает Бизнес • Медиа
Особенности вредоносной кампании TrapDoor
Специалисты сообщают, что злоумышленники разместили более 34 вредоносных пакетов и более 384 их версий в популярных репозиториях npm, PyPI и Crates.io. Особое внимание исследователи обратили на такие пакеты, как sui-framework-helpers, move-analyzer-build и sui-move-build-helper, которые были опубликованы через Crates.io. Программное обеспечение TrapDoor предназначалось для кражи критически важных данных, среди которых SSH-ключи, файлы криптокошельков, токены GitHub, учетные данные AWS и базы данных авторизации браузеров с компьютеров разработчиков.
Для заражения использовались различные механизмы в зависимости от языков программирования и экосистем: npm-хуки postinstall, импорты Python и скрипты build.rs для Rust. Это позволяло вредоносному ПО маскироваться под легитимные инструменты в экосистеме программного обеспечения.
Маскировка и подбор названий вредоносных пакетов
Исследователи отметили, что злоумышленники тщательно подбирали названия пакетов, чтобы они напоминали настоящие инструменты для разработки в сферах искусственного интеллекта, DeFi и блокчейн. Среди примеров названий, которые приводит Socket Security, — crypto-credential-scanner, wallet-security-checker, defi-env-auditor и defi-risk-scanner. Такая тактика позволяла TrapDoor оставаться незамеченным в среде разработчиков, где часто хранятся облачные ключи, данные кошельков и другая конфиденциальная информация.
Самый ранний из обнаруженных пакетов, [email protected], был загружен в PyPI в пятницу вечером. Специалисты отмечают, что новые вредоносные пакеты появлялись волнами через различные учетные записи, что усложняло их оперативное обнаружение и блокировку.
«В Socket Security охарактеризовали TrapDoor как относительно небольшую, но эффективную операцию. Она рассчитана на точечные атаки против разработчиков криптографических и DeFi-приложений».
Эксперты также предупреждают, что подобные кампании становятся все более распространенными на фоне роста интереса злоумышленников к инфраструктуре Web3, инструментам искусственного интеллекта и разработке блокчейн-приложений.
