Kampanye pencurian kripto baru menargetkan pembangun yang paling mungkin memiliki kunci dompet, kredensial awan, dan akses produksi yang tersimpan di mesin mereka.
Penyelidik di firma keselamatan Socket mengatakan awal minggu ini bahawa mereka mengenal pasti serangan rantai bekalan bernama TrapDoor yang tersebar di tiga registri pengaturcaraan sumber terbuka utama, dengan lebih daripada 34 pakej jahat dan ratusan versi dan artefak berkaitan.
Satu kesimpulan utama ialah penyerang menjadi lebih berfokus. Selain rekabentuk sosial yang menargetkan individu yang memegang maklumat penting, serangan rantai bekalan tidak dirancang untuk menangkap pengguna eceran rawak tetapi pembangun. Mereka adalah orang-orang yang mungkin mempunyai fail dompet, kunci SSH, token GitHub, kredensial awan, dan akses pengeluaran pada mesin yang sama yang mereka gunakan untuk membina alat kripto dan AI.
Socket tidak mengenal pasti mangsa atau dana yang dicuri, tetapi mengatakan bahawa pakej-pakej tersebut berada secara aktif di npm, PyPI dan Crates.io dan mengandungi beban yang boleh mencuri data dompet, mengekstrak kredensial, menguji token AWS dan GitHub, serta meninggalkan fail untuk mengekalkan akses aktif.
Pakej yang diprogram dalam JavaScript, Python, dan Rust disamarkan sebagai pembantu pembangun, pemindai keselamatan, alat dompet, utiliti Solidity, pakej prompt AI, dan pembantu pembinaan Sui atau Move.
Nama-nama tersebut sengaja dibuat membosankan. Paket-paket dinamai "wallet-security-checker", "defi-risk-scanner", "solidity-build-guard", "move-compiler-tools", dan "llm-context-compressor", terlihat seperti alat-alat kecil yang mungkin dipasang oleh pengembang kripto atau AI tanpa banyak pertimbangan.
Namun, selepas dipasang, beban tersebut cuba mengambil jauh lebih banyak daripada data pakej.
Dalam pakej npm, malware tersebut mencari kunci peribadi, kata laluan, token GitHub, dan log masuk awan di mesin pembangun. Ia juga menguji beberapa kredensial yang dicuri, cuba berpindah ke sistem lain melalui kunci SSH, dan meninggalkan fail yang boleh mengekalkan jangkitan tetap aktif.
Kunci SSH adalah fail log masuk yang digunakan oleh pembangun untuk mengakses pelayan, repositori kod, dan mesin lain. Jika dicuri, ia boleh membenarkan penyerang bergerak dari satu laptop yang telah diserang ke dalam infrastruktur yang lebih luas syarikat.
Serangan tersebut juga menggunakan fail seperti .cursorrules dan claude.md, yang membolehkan pembangun memberikan arahan khusus projek kepada alat pengkodean AI. Socket mengatakan kampanye tersebut menanam arahan tersembunyi menggunakan aksara Unicode tanpa lebar, kelihatannya cuba membuat sesi pembantu AI masa depan menjalankan “pemindaian keselamatan” palsu yang mengumpul dan mengeksfiltrasi rahsia.
It mengubah serangan itu dari pencuri paket biasa menjadi sesuatu yang lebih mirip malware lingkungan pembangun. Pemasangan paket hanyalah langkah pertama, dengan sasaran sebenarnya ialah workstation, seperti dompet, repositori, data peramban, kunci awan, akses SSH, dan apa sahaja alat pengkodean AI yang akan dibaca seterusnya.
Pakej Rust yang digunakan skrip build.rs jahat untuk dijalankan semasa kompilasi, menargetkan pembangun sui dan move. Pakej PyPI menjalankan JavaScript jauh semasa import. Pakej di npm menggunakan hook postinstall.
Socket mengatakan ia melaporkan paket-paket tersebut kepada registri yang terkesan dan mengklasifikasikan paket-paket kempen sebagai jahat. Syarikat itu juga memperingatkan bahawa penyerang membuka permintaan tarik ke projek AI dan pembangun, cuba menambah fail .cursorrules dan CLAUDE.md melalui laluan sumbangan sumber terbuka biasa.