Безопасностные исследователи обнаружили, что кампания вредоносного ПО под названием TrapDoor распространяется через несколько открытых репозиториев программного обеспечения, затрагивая экосистему зависимостей, используемых разработчиками в области криптовалют и блокчейна. Целями атакующих являются не только локальные файлы, но и такие высокоценные данные, как ключи кошельков, учетные данные облачных сервисов и токены доступа к репозиториям кода.
В трех открытых репозиториях одновременно обнаружены вредоносные пакеты
Эта кампания охватывает три основные экосистемы пакетов: npm, PyPI и Crates.io. Исследователи сообщили, что было выявлено более 30 вредоносных пакетов, связанные зараженные версии которых превышают 300, и они появились в течение короткого периода времени.
Согласно отчету, эта кампания начала активизироваться примерно 22 мая. В то же время GitHub сообщил 20 мая о несанкционированном доступе к внутренним репозиториям кода. Существующая информация указывает на то, что эти вредоносные пакеты не загружались случайно, а были размещены по частям несколькими аккаунтами, чтобы снизить вероятность обнаружения на ранних этапах.
Триггер может быть запущен на этапе установки и компиляции
Распространение TrapDoor зависит от процессов установки и сборки, используемых разработчиками в повседневной работе. Пакеты JavaScript могут автоматически запускаться через post-install-скрипты после установки зависимостей; пакеты Python могут активироваться на этапе импорта; пакеты Rust могут выполнять действия во время компиляции с помощью скриптов сборки.
После запуска вредоносного кода он сканирует локальную систему на наличие конфиденциальной информации, включая SSH-ключи, API-токены, переменные среды и распространенные конфигурационные файлы. Некоторые образцы также считывают данные аутентификации, сохраненные в браузере, и отправляют похищенные данные на внешний сервер, контролируемый злоумышленником.
Исследователи также отметили, что отдельные образцы пытаются изменить процесс запуска или вставлять вредоносные хуки в инструменты разработки для поддержания последующего доступа.
Кошельки, AWS и GitHub стали основными целями
С учетом целей атаки, эта атака явно направлена на сценарии криптографической разработки. Вредоносное ПО собирает данные, связанные с криптокошельками, а также пытается получить учетные данные AWS и токены доступа GitHub. Утечка такой информации может позволить злоумышленникам получить доступ к частным репозиториям кода, процессам развертывания и бэкенд-системам.
Помимо облачных и кодовых прав доступа, SSH-ключи также являются приоритетной целью. Если соответствующие ключи будут украдены, злоумышленники могут использовать их для доступа к устройствам разработчиков и даже подключиться к производственным серверам. Для криптовалютных проектов это означает, что риски не ограничиваются личными терминалами, а могут распространиться на инфраструктуру и цепочку выпуска.
Инструменты кодирования на основе ИИ также включены в цепочку атаки
Еще одной особенностью этой кампании стало начало использования среды разработки с поддержкой ИИ. Некоторые вредоносные пакеты содержат конфигурационные файлы, такие как .cursorrules и CLAUDE.md, с целью повлиять на понимание и выполнение инструкций проекта помощниками по кодированию на основе ИИ.
Согласно отчету, атакующие не полагаются исключительно на традиционные вредоносные коды, а также пытаются использовать рабочие процессы инструментов ИИ для того, чтобы заставить их раскрывать конфиденциальную информацию или выполнять неправильные действия. Это демонстрирует, что атаки на цепочку поставок выходят за пределы уровня кода и распространяются на автоматизированные инструменты, используемые разработчиками.