- Експерти Socket Security виявили десятки шкідливих пакетів у npm, PyPI та Crates.io.
- Кампанія TrapDoor націлена на крадіжку SSH-ключів, криптогаманців і хмарних облікових даних.
- Зловмисники маскували шкідливе ПЗ під інструменти для DeFi, ШІ та розробки блокчейн-застосунків.
Дослідники компанії Socket Security повідомили про масштабну шкідливу кампанію TrapDoor. Вона орієнтована на середовища розробки криптографічних застосунків і блокчейн-екосистеми Aptos, Sui та Solana.
За даними фахівців, зловмисники розмістили понад 34 шкідливі пакети та більш ніж 384 пов’язані версії в популярних репозиторіях npm, PyPI та Crates.io.
Серед виявлених пакетів дослідники виокремили sui-framework-helpers, move-analyzer-build і sui-move-build-helper, опубліковані через Crates.io. Шкідливе ПЗ призначене для крадіжки SSH-ключів, файлів криптогаманців, токенів GitHub, облікових даних AWS і баз даних авторизації браузерів із комп’ютерів розробників.
Для зараження використовувалися механізми, специфічні для різних мов програмування та екосистем. Зокрема, npm-хуки postinstall, Python-імпорти та Rust-скрипти build.rs.
Маскування під інструменти для DeFi та ШІ
За даними дослідників, назви пакетів були спеціально підібрані так, щоб нагадувати легітимні інструменти для розробки у сферах ШІ, криптовалют і DeFi.
Серед прикладів Socket Security назвала crypto-credential-scanner, wallet-security-checker, defi-env-auditor і defi-risk-scanner.
Експерти вважають, що зловмисники розраховували атакувати середовища, де розробники зберігають хмарні ключі, дані гаманців та іншу чутливу інформацію.
Найранішим виявленим пакетом став eth-security-auditor@0.1.0, завантажений у PyPI у п’ятницю ввечері. За словами дослідників, публікація нових пакетів відбувалася хвилями через кілька облікових записів.
Як захиститися від викрадення криптовалют: поради від Juscutum 13.12.2023 Читати
У Socket Security охарактеризували TrapDoor як відносно невелику, але ефективну операцію. Вона розрахована на точкові атаки проти розробників криптографічних і DeFi-застосунків.
Дослідники також попередили, що подібні кампанії стають дедалі поширенішими. Це відбувається на тлі зростання інтересу зловмисників до інфраструктури Web3, ШІ та інструментів розробки блокчейн-застосунків.
Нагадаємо, ми писали, що аналітики компанії CertiK заявили про перевагу хакерів завдяки ШІ після хвилі зламів DeFi.
Сообщение Експерти повідомили про шкідливу кампанію TrapDoor проти розробників Sui та Solana появились сначала на INCRYPTED.
