TrapDoor-hyökkäys kohdistuu kryptolompakoihin, AWS-avaimiin ja GitHub-tokeneihin

Mirka

  • Haittaohjelma levisi npm-, PyPI- ja Rust-pakettien kautta koordinoiduissa aalloissa.
  • Se varastaa kryptolompakot, SSH-avaimet ja pilvisovelluskehittäjän tunnistetiedot.
  • AI-koodaustyökalut joutuivat myös haitallisten konfigurointitiedostojen kautta.

Koordinoitu haittaohjelmakampanja, joka tunnetaan nimellä TrapDoor, on osunut krypto- ja lohkoketjujen kehittäjien laajalti käyttämiin ohjelmistoekosysteemeihin.

Tietoturvatutkijat tunnistivat kymmeniä haittapaketteja, jotka ovat levinneet suuriin avoimen lähdekoodin tietovarastoihin ja jotka kaikki on suunniteltu varastamaan arkaluontoisia kehittäjätietoja, kuten lompakon avaimia, pilvitunnuksia ja lähdekoodin käyttöoikeuksia.

Yhden haitallisen latauksen sijaan hyökkääjät ottivat käyttöön useita paketteja aalloissa käyttämällä eri tilejä.

Tämä lähestymistapa vaikeutti toiminnan havaitsemista alkuvaiheessa ja mahdollisti haittaohjelmien sulautumisen rutiininomaisiin riippuvuuspäivityksiin.

Koordinoitu hyökkäys tärkeimpien kehittäjien ekosysteemeihin

TrapDoor-toiminto vaikutti ainakin kolmeen suureen pakettiekosysteemiin: npm, PyPI ja Crates.io.

Yhdessä tutkijat tunnistivat yli 30 haitallista pakettia ja yli 300 vaikutuksen alaista versiota lyhyessä ajassa.

Toiminnan kerrotaan alkaneen noin 22. toukokuuta 2026, vaikka GitHub ilmoitti luvattomasta pääsystä sisäisiin tietovarastoihin 20. toukokuuta. Sen jälkeen se eskaloitui nopeasti seuraavien päivien aikana.

Paketit eivät olleet yksittäistapauksia. Sen sijaan ne näyttivät olevan osa koordinoitua julkaisustrategiaa, johon osallistui useita kehittäjätilejä.

Tämä rakenne viittaa pikemminkin suunnitteluun kuin opportunistiseen väärinkäyttöön. Jokainen paketti sisälsi samanlaisia ​​käyttäytymismalleja ja viittasi hyökkääjien käyttämään yhteiseen haitalliseen kehykseen.

Kuinka TrapDoor-haittaohjelma toimii kehittäjäjärjestelmissä

Kun TrapDoor-paketit on asennettu, ne suoritetaan automaattisesti nykyaikaisissa kehitysympäristöissä käytettyjen standardien rakennus- ja asennusprosessien kautta.

JavaScript-paketeissa haitallinen koodi laukaistaan ​​asennuksen jälkeisten komentosarjojen kautta, jotka suoritetaan välittömästi riippuvuuden lisäämisen jälkeen.

Python-paketeissa haittaohjelma voi aktivoitua tuonnin aikana, jolloin se voi toimia ilman erityistä toimintokutsua.

Rust-paketit käyttävät koontiskriptejä saavuttaakseen saman tuloksen kääntämisen aikana.

Suorituksen jälkeen haittaohjelma etsii arvokkaita tietoja paikallisista järjestelmistä. Tämä sisältää SSH-avaimet, API-tunnukset ja määritystiedostot, joita käytetään yleisesti pilvi- ja blockchain-kehitystyönkuluissa.

Se kohdistaa myös selaimeen tallennettuihin tunnistetietoihin ja ympäristömuuttujiin, jotka sisältävät usein arkaluontoisia todennustietoja.

Varastetut tiedot lähetetään sitten hyökkääjien hallitsemille ulkoisille palvelimille.

Joissakin tapauksissa haittaohjelma yrittää ylläpitää pysyvyyttä muokkaamalla käynnistysprosesseja tai lisäämällä haitallisia koukkuja kehitystyökaluihin.

Kryptokeskeinen kohdistus ja arvokkaat datavarkaudet

Tästä kampanjasta erityisen huolestuttavan tekee sen keskittyminen kryptoon liittyviin kehitysympäristöihin.

Haittaohjelma etsii erityisesti salauslompakkoon liittyviä tiedostoja ja tunnistetietoja, jotka on linkitetty sellaisiin alustoihin kuin Coinbase, MetaMask, Binance ja Solana-pohjaiset työkalut.

Se kohdistaa myös pilviinfrastruktuurin valtuustietoihin palveluntarjoajilta, kuten AWS- ja GitHub-käyttötunnisteilta.

Nämä ovat erityisen arvokkaita, koska ne voivat tarjota hyökkääjille suoran pääsyn yksityisiin tietovarastoihin, käyttöönottoputkiin ja taustajärjestelmiin.

Lisäksi haittaohjelma yrittää kerätä SSH-avaimia, jotka voivat mahdollistaa etäkäytön kehittäjäkoneisiin tai tuotantopalvelimiin.

Tämä kohteiden yhdistelmä tarjoaa hyökkääjille laajan valikoiman sisääntulopaikkoja sekä henkilökohtaisiin että yritysjärjestelmiin.

AI-kehitystyökalut myös paineen alla

Yksi TrapDoor-kampanjan epätavallisimmista elementeistä on sen vuorovaikutus tekoälyavusteisten kehitysympäristöjen kanssa.

Jotkut haitalliset paketit sisältävät määritystiedostoja, jotka on suunniteltu vaikuttamaan koodausavustajiin ja automaattisiin kehitystyökaluihin.

Tiedostoja, kuten .cursorrules ja CLAUDE.md, käytettiin kuulemma manipuloimaan tekoälyn koodausapureita suorittamaan toimintoja, jotka voivat paljastaa arkaluonteisia tietoja.

Järjestelmien suoran hakkeroinnin sijaan hyökkääjät yrittivät hyödyntää sitä, kuinka tekoälytyökalut tulkitsevat projektin ohjeita.

Tämä lähestymistapa kuvastaa muutosta hyökkäysmenetelmissä.

Sen sijaan, että se kohdistuisi vain koodin suorittamiseen, kampanja yrittää myös vaikuttaa kehittäjien työnkulkuihin, jotka perustuvat tekoälyn luomiin ehdotuksiin ja automaattiseen analyysiin.

Jaa tämä artikkeli
Luokat
Tunnisteet

Mirka
Mirka

Mirka Järvinen, kokenut toimittaja Matin Markkassa, muuntaa talouden monimutkaisuudet saavutettaviksi analyyseiksi. Hänen intohimonsa rahoituksen demokratisointiin ohjaa kirjoituksiaan, tehden hänestä luotettavan ja inspiroivan lähteen kaikille.

Samankaltaiset artikkelit

SBI Life Insurance julkaisee ensimmäisen LifeVerse Studionsa

SBI Life Insurance julkaisee ensimmäisen LifeVerse Studionsa

Mirka

Virallisen tiedotteen mukaan SBI Life Insurance julkaisi ensimmäisen ”LifeVerse Studionsa” Metaversessa saadakseen yhteyden seuraavan sukupolven Internetin käyttäjiin. Muuton taustalla olevan tavoitteen odotetaan yhdistävän, voimaannuttavan ja…

Binance Labs investoi Zero-knowledge-proof-teknologiaan

Binance Labs investoi Zero-knowledge-proof-teknologiaan

Mirka

Nollatiedonkestävän teknologian uskotaan saavan edelleen kiinnostusta ja investointeja, kun Binance Labs, krypto-pörssi, tulee ensimmäisenä yrityksenä, joka investoi ZK-kestävään infrastruktuuriin. Uskotaan, että infrastruktuurin on luonut Delphinus…