แคมเปญการขโมยสกุลเงินดิจิทัลใหม่กำลังเป้าหมายไปที่นักพัฒนาที่มีแนวโน้มสูงสุดที่จะมีกุญแจวอลเล็ต ข้อมูลรับรองคลาวด์ และการเข้าถึงระบบผลิตอยู่บนเครื่องของพวกเขา
นักวิจัยจากบริษัทด้านความปลอดภัย Socket ระบุเมื่อต้นสัปดาห์นี้ว่าพวกเขาพบการโจมตีแบบห่วงโซ่อุปทานที่เรียกว่า TrapDoor ซึ่งแพร่กระจายผ่านregistries การเขียนโปรแกรมแบบโอเพ่นซอร์สหลักสามแห่ง โดยมีแพ็กเกจที่เป็นอันตรายมากกว่า 34 รายการ และเวอร์ชันและอาร์ติแฟกต์ที่เกี่ยวข้องนับร้อย
จุดสำคัญคือผู้โจมตีกำลังมุ่งเป้าหมายมากขึ้น นอกเหนือจากการหลอกลวงทางสังคมซึ่งมุ่งเป้าไปที่บุคคลที่ถือข้อมูลสำคัญ การโจมตีผ่านห่วงโซ่อุปทานถูกออกแบบมาไม่ใช่เพื่อจับผู้ใช้รายย่อยแบบสุ่ม แต่เพื่อเจาะจงไปที่นักพัฒนา ซึ่งเป็นบุคคลที่อาจมีไฟล์วอลเล็ต คีย์ SSH โทเค็น GitHub ข้อมูลการเข้าถึงคลาวด์ และสิทธิ์การเข้าถึงระบบผลิตจริงบนเครื่องเดียวกันที่พวกเขาใช้ในการพัฒนาเครื่องมือด้านคริปโตและ AI
Socket ไม่ได้ระบุผู้เสียหายหรือเงินที่ถูกขโมย แต่ระบุว่าแพ็กเกจเหล่านี้ถูกใช้งานอยู่บน npm, PyPI และ Crates.io และมีพาวโหลดที่สามารถขโมยข้อมูลวอลเล็ต ดึงข้อมูลรหัสผ่าน ทดสอบโทเค็น AWS และ GitHub รวมถึงทิ้งไฟล์เพื่อรักษาการเข้าถึงไว้
แพ็กเกจที่เขียนด้วย JavaScript, Python และ Rust ถูกซ่อนตัวเป็นเครื่องมือช่วยนักพัฒนา เครื่องสแกนความปลอดภัย เครื่องมือวอลเล็ต เครื่องมือ Solidity แพ็กเกจคำสั่ง AI และเครื่องมือช่วยการสร้าง Sui หรือ Move
ชื่อเหล่านั้นถูกตั้งขึ้นอย่างตั้งใจให้น่าเบื่อ แพ็กเกจถูกตั้งชื่อว่า "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard," "move-compiler-tools" และ "llm-context-compressor" ดูเหมือนเครื่องมือเล็กๆ ที่นักพัฒนาคริปโตหรือ AI อาจติดตั้งโดยไม่ได้คิดมาก
อย่างไรก็ตาม หลังจากติดตั้งแล้ว แพ็กเกจเหล่านี้พยายามดึงข้อมูลมากกว่าแค่ข้อมูลแพ็กเกจ
ในแพ็กเกจ npm มัลแวร์ค้นหาคีย์ส่วนตัว รหัสผ่าน โทเค็น GitHub และข้อมูลการเข้าสู่ระบบคลาวด์บนเครื่องของนักพัฒนา นอกจากนี้ยังทดสอบข้อมูลรับรองที่ขโมยมา พยายามแพร่กระจายไปยังระบบอื่นผ่านคีย์ SSH และทิ้งไฟล์ที่สามารถรักษาการติดเชื้อให้คงอยู่
คีย์ SSH เป็นไฟล์สำหรับล็อกอินที่นักพัฒนาใช้เพื่อเข้าถึงเซิร์ฟเวอร์ คลังรหัส และเครื่องอื่นๆ หากถูกขโมย อาจทำให้ผู้โจมตีสามารถเคลื่อนย้ายจากแล็ปท็อปที่ถูกโจมตีหนึ่งเครื่องไปยังโครงสร้างพื้นฐานโดยรวมของบริษัท
การโจมตียังใช้ไฟล์เช่น .cursorrules และ claude.md ซึ่งช่วยให้นักพัฒนาสามารถให้คำสั่งเฉพาะโครงการแก่เครื่องมือเขียนโค้ดของ AI Socket ระบุว่าแคมเปญนี้ได้ฝังคำสั่งที่ซ่อนอยู่โดยใช้อักขระ Unicode ที่ไม่มีความกว้าง ซึ่งดูเหมือนพยายามทำให้เซสชันผู้ช่วย AI ในอนาคตดำเนินการ “สแกนความปลอดภัย” ปลอมที่รวบรวมและส่งข้อมูลลับออกไป
สิ่งนี้เปลี่ยนการโจมตีจากมัลแวร์ขโมยแพ็กเกจทั่วไปให้ใกล้เคียงกับมัลแวร์ที่เป้าหมายคือสภาพแวดล้อมนักพัฒนา การติดตั้งแพ็กเกจเป็นเพียงขั้นตอนแรก โดยเป้าหมายที่แท้จริงคือเครื่องทำงาน เช่น วอลเล็ต รีพอสิตอรี ข้อมูลเบราว์เซอร์ กุญแจคลาวด์ การเข้าถึง SSH และเครื่องมือเขียนโค้ด AI ใดๆ ที่จะอ่านต่อไป
แพ็กเกจ Rust ใช้สคริปต์ build.rs ที่เป็นอันตรายเพื่อเรียกใช้ระหว่างการคอมไพล์ โดยมุ่งเป้าไปที่นักพัฒนา Sui และ Move แพ็กเกจบน PyPI ดำเนินการ JavaScript จากระยะไกลเมื่อเรียกใช้ ส่วนแพ็กเกจบน npm ใช้ฮุก postinstall
Socket ระบุว่าได้รายงานแพ็กเกจดังกล่าวไปยังหน่วยงานที่เกี่ยวข้องและจัดประเภทแพ็กเกจของแคมเปญนี้ว่าเป็นอันตราย บริษัทยังเตือนว่าผู้โจมตีได้เปิด pull requests ไปยังโครงการด้าน AI และนักพัฒนา เพื่อพยายามเพิ่มไฟล์ .cursorrules และ CLAUDE.md ผ่านช่องทางการมีส่วนร่วมในโอเพ่นซอร์สปกติ