TrapDoor: шкідлива атака на розробників Sui та Solana

Експерти у сфері кібербезпеки виявили масштабну шкідливу кампанію TrapDoor, спрямовану на розробників блокчейн-екосистем Sui, Solana та Aptos.

Про це розповідає ProIT

Як працює TrapDoor та кого атакує

Дослідники компанії Socket Security виявили десятки шкідливих програмних пакетів, розміщених у популярних сховищах npm, PyPI та Crates.io. Кампанія TrapDoor спеціалізується на викраденні SSH-ключів, файлів криптогаманців, токенів GitHub, облікових даних Amazon Web Services, а також баз даних авторизації браузерів із комп’ютерів розробників.

Зловмисники використовували понад 34 шкідливі пакети та більше ніж 384 пов’язані версії. Серед них виділяються такі як sui-framework-helpers, move-analyzer-build і sui-move-build-helper, які було завантажено через Crates.io. Для зараження використовувалися спеціальні механізми під кожну мову програмування: npm-хуки postinstall, імпорти Python та скрипти build.rs у мовах Rust.

Інтерфейс із виявленням шкідливого npm-пакета TrapDoor. Дані: Socket Security.

Маскування під легітимні інструменти та масштаби кампанії

За інформацією дослідників, шкідливі пакети мали назви, які імітували справжні інструменти для DeFi, штучного інтелекту та розробки блокчейн-застосунків. Серед прикладів назв — crypto-credential-scanner, wallet-security-checker, defi-env-auditor та defi-risk-scanner. Такі назви були навмисно обрані для введення розробників в оману та підвищення шансів на успішне зараження середовищ, де зберігається чутлива інформація.

“У Socket Security охарактеризували TrapDoor як відносно невелику, але ефективну операцію. Вона розрахована на точкові атаки проти розробників криптографічних і DeFi-застосунків”.

Найраніший із виявлених пакетів — [email protected] — з’явився у PyPI у вечірній час п’ятниці. Дослідники зазначають, що публікація нових шкідливих пакетів відбувалася хвилями через різні облікові записи, що ускладнювало їх оперативне виявлення.

Спеціалісти звертають увагу на те, що подібні кампанії TrapDoor стають дедалі поширенішими через зростання інтересу хакерів до інфраструктури Web3, штучного інтелекту та блокчейн-інструментів для розробників. Таким чином, ризики для розробників у цих сферах суттєво зростають.