Эксперты в области кибербезопасности зафиксировали масштабную вредоносную кампанию TrapDoor, направленную на разработчиков блокчейн-проектов, связанных с экосистемами Aptos, Sui и Solana. Злоумышленники нацелены на кражу SSH-ключей, данных криптокошельков, а также облачных учетных данных.
Об этом сообщает Finway
Особенности вредоносной кампании TrapDoor
Специалисты компании Socket Security обнаружили более 34 вредоносных пакетов и более 380 их версий, которые были размещены в популярных репозиториях npm, PyPI и Crates.io. Злоумышленники тщательно маскировали вредоносное программное обеспечение под легитимные инструменты для разработки в сферах DeFi, искусственного интеллекта и блокчейн-разработки.
Среди опасных пакетов исследователи выделили такие, как sui-framework-helpers, move-analyzer-build и sui-move-build-helper, которые были опубликованы через Crates.io. Указанное программное обеспечение предназначалось для кражи SSH-ключей, файлов с криптокошельками, токенов GitHub, учетных данных AWS, а также данных для авторизации в браузерах разработчиков.
Для заражения использовались специфические механизмы для каждого языка программирования и экосистемы: npm-хуки postinstall, импорты Python и Rust-скрипты build.rs. Это позволяло охватить широкий спектр целевых сред разработки.
Маскировка и цели атак
Названия вредоносных пакетов подбирались так, чтобы имитировать легитимные инструменты для разработки в сфере криптовалют, DeFi и искусственного интеллекта. Среди примеров названий можно выделить crypto-credential-scanner, wallet-security-checker, defi-env-auditor и defi-risk-scanner. Эксперты уверены, что это было сделано для того, чтобы заинтересовать разработчиков, работающих с конфиденциальными данными, такими как облачные ключи и кошельки.
«В Socket Security охарактеризовали TrapDoor как относительно небольшую, но эффективную операцию. Она рассчитана на точечные атаки против разработчиков криптографических и DeFi-приложений».
Самый ранний вредоносный пакет, который удалось найти исследователям, — [email protected], загруженный в PyPI в пятницу вечером. Новые пакеты публиковались волнами через несколько учетных записей, что усложняло обнаружение кампании на раннем этапе.
Специалисты отмечают, что подобные атаки становятся все более распространенными. Они связывают это с ростом интереса злоумышленников к инфраструктуре Web3, инструментам для разработки блокчейн-приложений и искусственного интеллекта.