- TrapDoor-Malware verbreitete sich über gefälschte Krypto-Entwicklerpakete in verschiedenen Registern.
- Angreifer zielten weltweit auf SSH-Schlüssel, AWS-Token und Wallet-Zugangsdaten ab.
- Die Forscher verknüpften koordinierte Uploads mit Aptos-, Sui- und Solana-Tool-Ökosystemen.
Forscher haben eine koordinierte Malware-Kampagne aufgedeckt, die Kryptowährungsentwickler durch gefälschte Softwarepakete in großen Codier-Registern ins Visier nimmt. Die Operation mit dem Namen TrapDoor konzentrierte sich auf Entwicklerumgebungen, die mit Blockchain-Ökosystemen wie Aptos, Sui und Solana verbunden sind. Sicherheitsanalysten warnten, dass die Kampagne darauf abzielte, sensible Zugangsdaten von Maschinen zu stehlen, die in Krypto-Entwicklungsprozessen verwendet werden.
Forscher von Socket Security entdeckten mehr als 34 bösartige Pakete, die über npm, PyPI und Crates.io verteilt sind. Insgesamt umfasste die Kampagne mehr als 384 Paketversionen. Die Angreifer gestalteten die Software so, dass sie legitim wirkte, indem sie beliebte Entwicklungsprogramme und Blockchain-Tools nachahmten.
Malware zielt auf Entwicklerzugangsdaten ab
Die bösartigen Pakete richteten sich auf hochwertige Informationen, die auf Entwicklersystemen gespeichert wurden. Die Malware suchte nach SSH-Schlüsseln, AWS-Zugangsdaten, GitHub-Zugriffstoken, Wallet-Keystores und Browser-Login-Datenbanken. Folglich könnten kompromittierte Systeme sowohl persönliche als auch unternehmensbezogene Infrastrukturen, die mit Kryptoprojekten verbunden ist, offenlegen.
Forscher identifizierten mehrere verdächtige Rust-Pakete auf Crates.io, darunter sui-framework-helpers, move-analyzer-build und sui-move-build-helper. Zusätzlich trugen npm-Pakete Namen wie Crypto-Credential-Scanner und Wallet-Sicherheitsprüfer. PyPI-Pakete umfassten eth-security-auditor und defi-risk-scanner.
Die Angreifer verließen sich auf automatisierte Ausführungsmethoden innerhalb jedes Programmierökosystems. npm-Pakete missbrauchten Postinstallations-Hooks, während Python-Module während der Importe ausgeführt wurden. Rust-Pakete werden während der Kompilierung durch build.rs Skripte aktiviert. Daher konnten Entwickler ihre Maschinen während gewöhnlicher Installationsprozesse infizieren, ohne verdächtiges Verhalten zu bemerken.
Der koordinierte Einsatz warf Bedenken auf
Socket-Forscher verfolgten das früheste bekannte Paket auf einen PyPI-Upload namens [email protected]. Das Paket erschien am Freitagabend, gefolgt von einer zusammengestellten Radveröffentlichung wenige Minuten später. Darüber hinaus beobachteten die Forscher eng gruppierte Upload-Wellen in mehreren Registren und Benutzerkonten.
Das Einsatzmuster deutete auf organisierte Koordination statt auf isolierte Experimente hin. Forscher stellten fest, dass die Angreifer absichtlich Namen wählten, die mit Krypto-Infrastruktur, DeFi-Tools, KI-Frameworks und Sicherheitsaudit-Diensten in Verbindung stehen. Diese Umgebungen speichern häufig finanzielle Zugangsdaten und privilegierte Authentifizierungsschlüssel.
Krypto-Entwicklungsumgebungen sehen sich wachsenden Bedrohungen gegenüber.
Die TrapDoor-Kampagne hebt die zunehmenden Risiken im Zusammenhang mit Open-Source-Software-Ökosystemen hervor, die digitale Asset-Projekte unterstützen. Entwickler installieren häufig Drittanbieter-Pakete, um Arbeitsabläufe zu beschleunigen, insbesondere in schnelllebigen Blockchain-Sektoren. Angreifer nutzen dieses Vertrauen jedoch weiterhin aus, um Zugang zu sensibler Infrastruktur zu erhalten.
Sicherheitsexperten rieten Entwicklern, die Paketbetreuer vor der Installation sorgfältig zu überprüfen. Darüber hinaus sollten Organisationen das Abhängigkeitsverhalten während der Build-Prozesse überwachen und kritische Zugangsdaten von Entwicklungsmaschinen isolieren. Forscher beschrieben die Kampagne als relativ klein, aber potenziell schwerwiegend in der Wirkung aufgrund des Wertes der gezielten Systeme.
Verwandt: Russland verzichtet auf Gold, wechselt aufgrund von Sanktionsdruck zu XRP
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
