Kampanye pencurian kripto baru menargetkan para pengembang yang paling mungkin memiliki kunci dompet, kredensial cloud, dan akses produksi yang tersimpan di mesin mereka.
Peneliti di perusahaan keamanan Socket mengatakan awal pekan ini mereka mengidentifikasi serangan rantai pasokan bernama TrapDoor yang menyebar di tiga registri pemrograman sumber terbuka utama, dengan lebih dari 34 paket jahat dan ratusan versi serta artefak terkait.
Poin utama adalah bahwa penyerang menjadi semakin fokus. Selain rekayasa sosial, yang menargetkan individu yang memegang informasi kunci, serangan rantai pasokan dirancang bukan untuk menangkap pengguna ritel acak, melainkan pengembang. Mereka adalah orang-orang yang mungkin memiliki file dompet, kunci SSH, token GitHub, kredensial cloud, dan akses produksi di mesin yang sama yang mereka gunakan untuk membangun alat kripto dan AI.
Socket tidak mengidentifikasi korban atau dana yang dicuri, tetapi mengatakan bahwa paket-paket tersebut aktif di npm, PyPI, dan Crates.io dan berisi payload yang dapat mencuri data dompet, mengekstraksi kredensial, menguji token AWS dan GitHub, serta meninggalkan file untuk menjaga akses tetap aktif.
Paket-paket yang diprogram dalam JavaScript, Python, dan Rust disamarkan sebagai alat bantu pengembang, pemindai keamanan, alat dompet, utilitas Solidity, paket prompt AI, dan alat bantu build Sui atau Move.
Nama-nama tersebut sengaja dibuat membosankan. Paket-paket tersebut dinamai "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard," "move-compiler-tools," dan "llm-context-compressor," terlihat seperti jenis utilitas kecil yang mungkin diinstal oleh pengembang kripto atau AI tanpa banyak pertimbangan.
Namun, setelah diinstal, payload mencoba mengambil jauh lebih dari sekadar data paket.
Di paket npm, malware tersebut mencari kunci pribadi, kata sandi, token GitHub, dan login cloud di mesin pengembang. Ia juga menguji beberapa kredensial yang dicuri, mencoba berpindah ke sistem lain melalui kunci SSH, dan meninggalkan file yang dapat membuat infeksi tetap aktif.
Kunci SSH adalah file login yang digunakan pengembang untuk mengakses server, repositori kode, dan mesin lainnya. Jika dicuri, mereka dapat memungkinkan penyerang berpindah dari satu laptop yang terkompromi ke infrastruktur perusahaan yang lebih luas.
Serangan tersebut juga menggunakan file seperti .cursorrules dan claude.md, yang memungkinkan pengembang memberikan instruksi spesifik proyek kepada alat pemrograman AI. Socket mengatakan kampanye ini menanamkan instruksi tersembunyi menggunakan karakter Unicode tanpa lebar, tampaknya berusaha membuat sesi asisten AI di masa depan menjalankan "pemindaian keamanan" palsu yang mengumpulkan dan mengekstraksi rahasia.
It mengubah serangan dari pencuri paket biasa menjadi sesuatu yang lebih mirip malware lingkungan pengembang. Instalasi paket hanyalah langkah pertama, dengan target sebenarnya adalah workstation, seperti dompet, repositori, data browser, kunci cloud, akses SSH, dan alat pengkodean AI apa pun yang akan dibaca selanjutnya.
Paket Rust yang digunakan menjalankan skrip build.rs jahat selama kompilasi, menargetkan pengembang Sui dan Move. Paket PyPI mengeksekusi JavaScript jarak jauh saat diimpor. Paket di npm menggunakan hook postinstall.
Socket mengatakan telah melaporkan paket-paket tersebut ke registri yang terdampak dan mengklasifikasikan paket kampanye sebagai berbahaya. Perusahaan juga memperingatkan bahwa penyerang membuka pull request ke proyek-proyek AI dan pengembang, berusaha menambahkan file .cursorrules dan CLAUDE.md melalui jalur kontribusi open-source biasa.