Дослідники безпеки виявили, що кампанія шкідливого програмного забезпечення під назвою TrapDoor поширюється через кілька відкритих сховищ програмного забезпечення, впливаючи на залежності, які використовують розробники криптовалют та блокчейну. Метою атакувачів є не лише локальні файли, а й високоефективні дані, такі як ключі гаманців, облікові дані хмарних сервісів та токени доступу до репозиторіїв коду.
Одночасно виявлено шкідливі пакунки у трьох відкритих сховищах
Ця кампанія охоплює три основні екосистеми пакетів: npm, PyPI та Crates.io. Дослідники повідомили, що було виявлено понад 30 зловмисних пакетів, пов’язаних більше ніж з 300 вразливими версіями, які з’явилися протягом короткого періоду часу.
У звіті зазначається, що ця кампанія приблизно з 22 травня почала набирати інтенсивності. Наприклад, GitHub 20 травня повідомив про несанкціонований доступ до внутрішніх сховищ коду. Доступна інформація свідчить, що ці шкідливі пакунки не завантажувалися випадково, а розподілялися пакетами через кілька акаунтів, щоб зменшити ймовірність виявлення на початковому етапі.
Тригериться на етапі встановлення та компіляції
Поширення TrapDoor залежить від процесів встановлення та збирання, які використовують розробники щодня. JavaScript-пакети можуть автоматично виконуватися за допомогою post-install сценаріїв після встановлення залежностей; Python-пакети можуть активуватися на етапі імпорту; Rust-пакети можуть виконуватися під час компіляції за допомогою сценаріїв збирання.
Після запуску шкідливого коду він сканує локальну систему на наявність чутливої інформації, включаючи SSH-ключі, API-токени, змінні середовища та поширені конфігураційні файли. Деякі зразки також читають автентифікаційну інформацію, збережену в браузері, і надсилають викрадені дані на зовнішній сервер, що знаходиться під контролем атакувача.
Дослідники також зазначили, що окремі зразки намагаються змінити процес завантаження або вставити зловмисні хуки в інструменти розробки, щоб зберегти доступ у майбутньому.
Гаманці, AWS та GitHub стали головними цілями
З урахуванням цілей, ця атака очевидно спрямована на сценарії криптовалютної розробки. Зловмисне програмне забезпечення збирає дані, пов’язані з криптовалютними гаманцями, а також намагається отримати облікові дані AWS та токени доступу GitHub. Якщо ця інформація буде викрадена, зловмисники зможуть отримати додатковий доступ до приватних репозиторіїв коду, процесів розгортання та бекенд-систем.
Крім хмарних та кодових прав доступу, SSH-ключі також є важливим об’єктом. Якщо відповідні ключі будуть вкрадені, зловмисники можуть отримати доступ до пристроїв розробників і навіть підключитися до серверів виробництва. Для криптовалютних проектів це означає, що ризики не обмежуються особистими терміналами, а можуть поширюватися на інфраструктуру та ланцюжок випуску.
Інструменти кодування на основі ШІ також були включені до ланцюжка атак
Іншою особливістю цієї кампанії є початок використання середовищ розробки з підтримкою ШІ. Деякі зловмисні пакети містять конфігураційні файли, такі як .cursorrules та CLAUDE.md, що мають на меті впливати на розуміння та виконання AI-асистентами команд проекту.
Згідно зі звітом, нападники не обмежуються традиційним виконанням шкідливого коду, а також намагаються використовувати робочі процеси інструментів ШІ, щоб навести їх на розкриття конфіденційної інформації або виконання неправильних дій. Це свідчить про те, що атаки на ланцюг поставок розширюються з рівня коду на автоматизовані інструменти, які використовують розробники.