„TrapDoor“ kenkėjiška programa skirta kriptovaliutų ir AI kūrėjams per atvirojo kodo paketus

Kibernetinio saugumo įmonė „Socket“ paskelbė įspėjimą apie naują kenkėjiškų programų kampaniją, pavadintą „TrapDoor“. Ataka konkrečiai nukreipta į programinės įrangos kūrėjus, dirbančius kriptovaliutų, decentralizuotų finansų (DeFi) ir dirbtinio intelekto (AI) sektoriuose. Remiantis Socket tinklaraščio įrašu, užpuolikai įkelia kenkėjiškus paketus į plačiai naudojamas kūrėjų bibliotekas, tokias kaip npm ir PyPI.

Turinys:

Kaip TrapDoor užkrečia

„TrapDoor“ grėsmės veikėjai įterpia kenkėjišką kodą iš pažiūros teisėtų paketų. Kūrėjai, kurie nesąmoningai atsisiunčia ir įdiegia šiuos paketus į savo projektus, užsikrečia. Suaktyvinta kenkėjiška programa veikia kaip informacijos vagystė. Jis ištraukia jautrius duomenis iš pažeistų sistemų. Pagrindiniai tikslai yra kriptovaliutų piniginės plėtiniai, tokie kaip „MetaMask“ ir „Phantom“, taip pat SSH raktai ir „GitHub“ autentifikavimo prieigos raktai. Užfiksuodami šiuos kredencialus, užpuolikai gali gauti neteisėtą prieigą prie skaitmeninio turto ir šaltinio kodo saugyklų, o tai gali sukelti turto vagystę.

Kodėl tai svarbu kriptovaliutų ir AI kūrėjams

Kripto, DeFi ir AI sektorių kūrėjai dažnai pasikliauja atvirojo kodo paketais, kad greitai sukurtų programas. npm ir PyPI ekosistemos yra ypač patrauklios užpuolikams, nes jos yra plačiai naudojamos ir dažnai patikimos be kruopštaus saugumo patikrinimo. „TrapDoor“ išnaudoja šį pasitikėjimą, paversdama įprastus priklausomybės įrenginius rimta saugumo rizika. Pavogus „MetaMask“ arba „Phantom“ piniginės raktus, galite prarasti kriptovaliutų atsargas. Panašiai, pažeisti SSH raktai ir „GitHub“ prieigos raktai gali leisti užpuolikams į gamybinę aplinką įterpti daugiau kenksmingo kodo arba pavogti intelektinę nuosavybę. Ši ataka pabrėžia didėjančią programinės įrangos tiekimo grandinės grėsmių tendenciją. Kenkėjiški paketai, skirti kūrėjams, tampa vis sudėtingesni. „TrapDoor“ yra priminimas, kad net patikimose saugyklose gali būti pavojingo kodo. Organizacijoms, besikuriančioms blockchain arba AI platformomis, viena užkrėsta priklausomybė gali sukelti didelę finansinę ir reputaciją.

Ką turėtų daryti kūrėjai

„Socket“ pataria kūrėjams būti atsargiems, kai į savo projektus įtraukiama naujų priklausomybių. Saugos ekspertai rekomenduoja patikrinti paketo vientisumą, naudoti paketų užrakto failus ir automatinius saugos įrankius, kurie nuskaito, ar nėra įtartinų veiksmų. Be to, kūrėjai turėtų apsvarstyti galimybę naudoti aparatinės įrangos pinigines kriptovaliutų raktams saugoti ir daugiafaktoriniam autentifikavimui GitHub paskyrose įgalinti. „TrapDoor“ kenkėjiškų programų kampanija yra tikslinė ir besivystanti grėsmė. Išnaudodami pasitikėjimą atvirojo kodo saugyklomis, užpuolikai vagia slaptus kredencialus, kurie gali sukelti finansinių nuostolių ir duomenų pažeidimus. Kūrėjai ir organizacijos turi išlikti budrūs ir imtis aktyvių saugos priemonių, kad apsaugotų savo darbo eigą ir turtą.