Експерти з кібербезпеки зафіксували масштабну шкідливу кампанію TrapDoor, спрямовану на розробників блокчейн-проєктів, пов’язаних із екосистемами Aptos, Sui та Solana. Зловмисники націлені на крадіжку ключів SSH, даних криптогаманців, а також хмарних облікових даних.
Про це розповідає Finway
Особливості шкідливої кампанії TrapDoor
Фахівці компанії Socket Security виявили понад 34 шкідливих пакети й більше ніж 380 їхніх версій, які були розміщені у популярних репозиторіях npm, PyPI та Crates.io. Зловмисники ретельно маскували шкідливе програмне забезпечення під легітимні інструменти для розробки у сферах DeFi, штучного інтелекту та блокчейн-розробки.
Серед небезпечних пакетів дослідники виокремили такі, як sui-framework-helpers, move-analyzer-build і sui-move-build-helper, що були опубліковані через Crates.io. Вказане програмне забезпечення призначалося для викрадення SSH-ключів, файлів з криптогаманцями, токенів GitHub, облікових даних AWS, а також даних для авторизації у браузерах розробників.
Для зараження використовувалися специфічні механізми для кожної мови програмування та екосистеми: npm-хуки postinstall, імпорти Python і Rust-скрипти build.rs. Це давало змогу охопити широкий спектр цільових середовищ розробки.
Маскування та цілі атак
Назви шкідливих пакетів підбиралися так, щоб імітувати легітимні інструменти для розробки у сфері криптовалют, DeFi та штучного інтелекту. Серед прикладів назв можна виділити crypto-credential-scanner, wallet-security-checker, defi-env-auditor і defi-risk-scanner. Експерти переконані, що це було зроблено для того, щоб зацікавити розробників, які працюють із конфіденційними даними, такими як хмарні ключі та гаманці.
“У Socket Security охарактеризували TrapDoor як відносно невелику, але ефективну операцію. Вона розрахована на точкові атаки проти розробників криптографічних і DeFi-застосунків”.
Найраніший шкідливий пакет, який вдалося знайти дослідникам, — [email protected], завантажений у PyPI у п’ятницю ввечері. Нові пакети публікувалися хвилями через декілька облікових записів, що ускладнювало виявлення кампанії на ранньому етапі.
Фахівці зазначають, що подібні атаки стають дедалі поширенішими. Вони пов’язують це зі зростанням інтересу зловмисників до інфраструктури Web3, інструментів для розробки блокчейн-застосунків і штучного інтелекту.