Wichtige Erkenntnisse
- Am 22. Mai stellte Socket fest, dass Trapdoor-Malware 34 Entwicklerpakete infizierte, um Krypto-Wallets und Schlüssel zu stehlen.
- Die Kampagne umfasst 384 Versionen, betrügt KI-Tools und hat erhebliche Auswirkungen auf den Entwicklungsmarkt.
- Nach einem ähnlichen Angriff im September warnt Socket Entwickler, als nächstes KI-Umgebungen vor Kryptodiebstahl zu schützen.
Supply Chain Attack Scheme Trapdoor zielt auf Entwickler ab, um maximale Leistung zu erzielen
Während einige Malware-Kampagnen jeden Tag gezielt angreifen Krypto Benutzer, andere konzentrieren sich auf Entwickler und zielen darauf ab, Ziele mit einer höheren Chance zu erobern, große Mengen davon zu halten Kryptowährung und Zugang zu umfassenderen Ressourcen haben.
Forscher von Socket, einem Unternehmen, das sich auf die Verhinderung von Angriffen auf die Lieferkette spezialisiert hat, haben dies getan identifiziert eine breite Kampagnenausrichtung Krypto Entwickler, die infizierte Pakete in npm, PyPI und Crates.io verwenden.
Der als Trapdoor bezeichnete Supply-Chain-Angriff umfasst 34 Pakete in diesen Entwicklungsumgebungen und umfasst über 384 Versionen, von denen einige noch verfügbar sind. Socket berichtete, dass die betroffenen Pakete ab dem 22. Mai in Wellen veröffentlicht und dann im Laufe des folgenden Wochenendes aktualisiert wurden.
Die Pakete zeichneten sich durch ihre Natur aus, da sie angeblich generische Entwicklertools darstellten und in schneller Folge in verschiedenen Registrierungen auftauchten. Dies verschafft der Kampagne „eine große Reichweite in angrenzenden Entwicklergemeinden.“ Krypto „Wallets, Cloud-Anmeldeinformationen, Github-Tokens und SSH-Schlüssel sind wahrscheinlich vorhanden“, schätzte Socket ein.
Die infizierten Pakete dringen in die Entwicklungsumgebung von ein Krypto Entwickler, die diese angeblichen Open-Source-Tools nutzen, Geheimnisse an sich reißen, Krypto Wallets, Secure Shell (SSH)-Schlüssel und andere relevante Daten.
Auch mit Trapdoor infizierte Pakete versuchen dies Hebelwirkung KI-Tools kooperieren bei ihrem Angriff, indem sie mithilfe von Direktivendateien KI-Codierungstools dazu verleiten, einen Sicherheitsscan durchzuführen und hochsensible Daten herauszufiltern.
Socket gab an, dass diese Technik zwar nicht bei allen KI-Tools und -Modellen konsistent funktionieren könne, ihre Präsenz jedoch darauf hindeutet, dass Angreifer „experimentieren aktiv mit KI-Entwicklungsumgebungen im Rahmen von Malware-Kampagnen in der Lieferkette.“
Kettenangriffe kommen immer häufiger vor. Im September ist die Krypto Gemeinschaft war alarmiert über einen ähnlichen Hack, bei dem mehrere Pakete verwendet wurden Krypto Geldbörsen werden kompromittiert und zum Diebstahl manipuliert Kryptowährung Gelder aus Geldbörsen mit BitcoinÄther und Solananeben anderen digitalen Vermögenswerten.
