Trapdoor-Malware: Der massive Supply-Chain-Angriff, der Kryptodeveloper ins Visier nimmt

Ermittler bei Soclet haben einen neuen Supply-Chain-Angriff entdeckt, der Kryptowährungsentwickler über npm-, PyPI- und Crates.io-Pakete ins Visier nimmt. Die Kampagne, die den Namen Trapdoor trägt, zielt darauf ab, Wallet-Schlüssel und andere Geheimnisse von Entwicklern im Krypto-Bereich zu stehlen.

• Kernaussagen:
• • Am 22. Mai fand Socket Trapdoor-Malware, die 34 Entwicklerpakete infiziert, um Krypto-Wallets und -Keys zu stehlen.
• • Die Kampagne umfasst 384 Versionen und täuscht KI-Tools aus sowie beeinträchtigt den Entwicklungsmarkt erheblich.
• • Nach einem ähnlichen Angriff im September warnt Socket Entwickler, die nächsten Schritte müssten darin bestehen, KI-Umgebungen zusätzlich gegen Krypto-Diebstahl abzusichern.

Supply-Chain-Angriffs-Schema Trapdoor zielt auf Entwickler für maximale Wirkung

Während einige Malware-Kampagnen sich an alltägliche Krypto-Nutzer richten, fokussieren andere Entwickler, um Ziele mit höherer Wahrscheinlichkeit für große Mengen an Kryptowährung zu erfassen und über breitere Ressourcen zu verfügen.

Forschende bei Socket, einem Unternehmen, das auf die Verhinderung von Supply-Chain-Angriffen spezialisiert ist, haben eine breite Kampagne identifiziert, die Krypto-Entwickler über infizierte Pakete in npm, PyPI und Crates.io ins Visier nimmt.

Unter dem Namen Trapdoor erstreckt sich der Supply-Chain-Angriff über 34 Pakete in diesen Entwicklungsumgebungen, umfasst über 384 Versionen und einige sind weiterhin verfügbar. Socket berichtete, dass die betroffenen Pakete in Wellen veröffentlicht wurden, beginnend am 22. Mai, und anschließend im Laufe des folgenden Wochenendes aktualisiert wurden.

Die Pakete stachen aufgrund ihrer Beschaffenheit heraus, da sie angeblich generische Entwickler-Tools darstellten und in kurzer Abfolge über verschiedene Register auftauchten. Das verleiht der Kampagne „eine breite Reichweite in benachbarten Entwickler-Communities, in denen Krypto-Wallets, Cloud-Zugangscredentials, Github-Tokens und SSH-Keys wahrscheinlich vorhanden sind“, so Socket.

Die infizierten Pakete dringen in die Entwicklungsumgebung von Krypto-Entwicklern ein, nutzen diese angeblich Open-Source-Tools, um sich Geheimnisse, Krypto-Wallets, Secure-Shell-(SSH)-Keys und andere relevante Daten zu verschaffen.

Trapdoor-infizierte Pakete versuchen zudem, KI-Tools für die Zusammenarbeit mit dem Angriff zu nutzen, indem sie Direktiven-Dateien einsetzen, um KI-Coding-Tools dazu zu bringen, einen Security-Scan auszuführen und hochsensiblen Daten-Exfiltration durchzuführen.

Socket erklärte, dass diese Technik zwar nicht durchgehend mit allen KI-Tools und Modellen funktionieren könne, das Vorhandensein jedoch zeigt, dass Angreifer „KI-Entwicklungsumgebungen aktiv als Teil von Supply-Chain-Malware-Kampagnen erproben.“

Chain-Angriffe werden immer häufiger. Im September wurde die Krypto-Community vor einem ähnlichen Hack gewarnt: Mehrere Pakete, die von Krypto-Wallets genutzt werden, waren kompromittiert und so verändert worden, dass sie Kryptowährungs-Gelder aus Wallets stehlen, die unter anderem Bitcoin, Ether und Solana enthalten.