Malware Trapdoor: Serangan Rantai Pasokan Besar-besaran yang Menargetkan Pengembang Kripto

Investigasi di Soclet menemukan serangan supply baru yang menarget pengembang kripto melalui paket npm, PyPI, dan Crates.io. Kampanye ini, dijuluki Trapdoor, berfokus pada pencurian kunci dompet kripto dan rahasia lain dari para pengembang di ruang kripto.

• Poin Penting:
• • Pada 22 Mei, Socket menemukan malware Trapdoor yang menginfeksi 34 paket pengembang untuk mencuri dompet dan kunci kripto.
• • Meliputi 384 versi, kampanye ini menjebak alat AI dan sangat berdampak pada pasar pengembangan.
• • Setelah serangan serupa pada September, Socket memperingatkan pengembang harus segera mengamankan lingkungan AI dari pencurian kripto.

Skema Serangan Rantai Pasok Trapdoor Menarget Pengembang untuk Performa Maksimal

Sementara beberapa kampanye malware menarget pengguna kripto sehari-hari, yang lain fokus pada pengembang, dengan tujuan menangkap target yang memiliki peluang lebih besar menyimpan jumlah besar mata uang kripto dan memiliki akses ke sumber daya yang lebih luas.

Peneliti di Socket, sebuah perusahaan yang mengkhususkan diri mencegah serangan rantai pasok, telah mengidentifikasi kampanye luas yang menarget pengembang kripto menggunakan paket yang terinfeksi di npm, PyPI, dan Crates.io.

Dinamai Trapdoor, serangan rantai pasok ini mencakup 34 paket di lingkungan pengembangan tersebut, mencakup lebih dari 384 versi, dengan beberapa masih tersedia. Socket melaporkan bahwa paket-paket yang terdampak dipublikasikan dalam gelombang yang dimulai pada 22 Mei dan kemudian diperbarui sepanjang akhir pekan berikutnya.

Paket-paket itu menonjol karena sifatnya, yang diduga merupakan alat pengembang generik dan muncul berturut-turut dengan cepat di berbagai registri. Ini memberi kampanye “jangkauan luas di komunitas pengembang yang berdekatan, tempat dompet kripto, kredensial cloud, token Github, dan kunci SSH kemungkinan besar ada,” ujar Socket.

Paket yang terinfeksi menyusup ke lingkungan pengembangan para pengembang kripto, memanfaatkan alat open-source yang diduga tersebut, dengan mengamankan rahasia, dompet kripto, kunci secure shell (SSH), dan data relevan lainnya.

Paket yang terinfeksi Trapdoor juga berusaha memanfaatkan alat AI untuk bekerja sama dengan serangannya, menggunakan file instruksi untuk menipu alat pengkodean AI agar menjalankan pemindaian keamanan dan mengekfiltrasi data yang sangat sensitif.

Socket menyatakan bahwa meskipun teknik ini tidak bisa bekerja secara konsisten di semua alat dan model AI, keberadaannya menunjukkan bahwa penyerang “secara aktif bereksperimen dengan lingkungan pengembangan AI sebagai bagian dari kampanye malware rantai pasok.”

Serangan rantai makin sering terjadi. Pada September, komunitas kripto mendapat peringatan tentang peretasan serupa, ketika beberapa paket yang digunakan oleh dompet kripto dikompromikan dan dimodifikasi untuk mencuri dana mata uang kripto dari dompet yang berisi bitcoin, ether, dan solana, di antara aset digital lainnya.