Accueil
Actualités
Détails

Campagne de vol de cryptomonnaies TrapDoor cible npm, PyPI et Crates.io avec plus de 34 packages malveillants

iconTechFlow
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
SOL
$85,91-1,04 %
AI summary iconRésumé

expand icon
Une nouvelle campagne de vol de crypto-monnaies TrapDoor a été dévoilée, ciblant npm, PyPI et Crates.io avec plus de 34 packages malveillants. Les attaquants volent des clés SSH, des données de wallet et des identifiants AWS auprès de développeurs des secteurs de la crypto, du DeFi et des actualités AI + crypto. Les méthodes incluent des hooks postinstall, l'exécution à distance de JavaScript et le vol local de clés. Socket Security a signalé tous les packages et les a rapportés aux registres. Les données d'inflation et l'activité des développeurs restent étroitement surveillées tandis que la menace se propage.

Selon une étude de l'entreprise de sécurité Socket Security, une attaque de chaîne d'approvisionnement de type vol de cryptomonnaies nommée TrapDoor, ciblant npm, PyPI et Crates.io, implique plus de 34 paquets malveillants ainsi que 384 versions et artefacts associés, visant les développeurs de cryptomonnaies, DeFi, Solana, Sui, Move et IA. Les échantillons d'attaque peuvent voler des clés SSH, des données de portefeuilles, des identifiants AWS, des jetons GitHub, des données de navigateur, des variables d'environnement et d'autres informations sensibles. Les paquets npm exécutent une charge utile partagée trap-core.js via un hook postinstall, les paquets PyPI exécutent du JavaScript distant à l'importation, et les paquets Crates.io utilisent build.rs pour voler les clés locales. Socket a marqué tous les paquets concernés comme malveillants et les a signalés aux registres de paquets concernés.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.