- Вредоносное ПО TrapDoor распространялось через поддельные пакеты крипторазработчиков в разных реестрах.
- Злоумышленники нацеливались на SSH-ключи, AWS-токены и учетные данные кошельков в сборках по всему миру.
- Исследователи связали скоординированные загрузки с экосистемами инструментов Aptos, Sui и Solana.
Исследователи обнаружили скоординированную кампанию вредоносного ПО, направленную против разработчиков криптовалют через фейковые программные пакеты, распространённые по крупным реестрам программирования. Операция, получившая название TrapDoor, была сосредоточена на средах для разработчиков, связанных с блокчейн-экосистемами, такими как Aptos, Sui и Solana. Аналитики по безопасности предупредили, что кампания была направлена на кражу конфиденциальных учетных данных у машин, используемых в рабочих процессах крипторазработки.
Исследователи из Socket Security обнаружили более 34 вредоносных пакетов, распределённых по npm, PyPI и Crates.io. Всего кампания включала более 384 версий пакетов. Злоумышленники спроектировали программное обеспечение так, чтобы оно выглядело легитимно, имитируя популярные утилиты для разработки и инструменты блокчейна.
Вредоносное ПО нацеливается на учетные данные разработчика
Вредоносные пакеты нацеливались на ценную информацию, хранящуюся на системах разработчиков. Вредоносное ПО искало SSH-ключи, учетные данные AWS, жетоны доступа GitHub, хранилища ключей кошелька и базы данных входа в браузер. В результате скомпрометированные системы могут раскрыть как личную, так и корпоративную инфраструктуру, связанную с криптопроектами.
Исследователи выявили несколько подозрительных пакетов Rust на Crates.io, включая sui-framework-helpers, move-analyzer-build и sui-move-build-helper. Кроме того, NPM-пакеты имели такие названия, как крипто-сканер учетных данных и проверка безопасности кошелька. Пакеты PyPI включали eth-security-auditor и defi-risk-scanner.
Злоумышленники использовали автоматизированные методы выполнения внутри каждой программной экосистемы. npm-пакеты злоупотребляли постустановочными хуками, а Python-модули выполнялись при импорте. Rust-пакеты активируются через build.rs скрипты во время компиляции. Таким образом, разработчики могли заражать свои машины во время обычных процедур установки, не замечая подозрительного поведения.
Координированное развертывание вызвало опасения
Исследователи Socket проследили самый ранний известный пакет с загрузкой PyPI под названием [email protected]. Пакет вышел в пятницу вечером, а через несколько минут последовал скомпилированный выпуск колеса. Кроме того, исследователи наблюдали плотно сгруппированные волны загрузки в нескольких реестрах и учетных записях пользователей.
Схема развертывания предполагала организованную координацию, а не изолированные эксперименты. Исследователи отметили, что злоумышленники намеренно выбрали имена, связанные с криптоинфраструктурой, DeFi-инструментами, AI-фреймворками и утилитами для аудита безопасности. В этих средах часто хранятся финансовые учетные данные и привилегированные ключи аутентификации.
Среды разработки криптовалют сталкиваются с растущими угрозами
Кампания TrapDoor подчёркивает растущие риски, связанные с экосистемами открытого программного обеспечения, поддерживающими проекты цифровых активов. Разработчики часто устанавливают сторонние пакеты для ускорения рабочих процессов, особенно в быстро развивающихся блокчейн-секторах. Однако злоумышленники продолжают использовать это доверие для получения доступа к чувствительной инфраструктуре.
Эксперты по безопасности призвали разработчиков тщательно проверять сопровождающих пакетов перед установкой. Кроме того, организации должны отслеживать поведение зависимостей во время процесса сборки и изолировать критически важные учетные данные от машин разработки. Исследователи описали кампанию как относительно небольшую по масштабу, но потенциально серьёзную по воздействию из-за ценности целевых систем.
Связано: Россия избавляется от золота, переходит на XRP из-за санкционного давления
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
