Исследователи безопасности обнаружили крупную кампанию по заражению пакетов в популярных репозиториях, направленную specifically на разработчиков блокчейн- и криптопроектов.

22 мая компания Socket, специализирующаяся на защите open-source экосистем, раскрыла вредоносную операцию под названием Trapdoor. Атака представляет собой классический supply chain attack и поражает сразу три крупных пакетных менеджера: npm, PyPI и Crates.io (для Rust).

Что известно на данный момент

• Затронуто 34 вредоносных пакета;
• Общее количество заражённых версий превышает 384;
• Часть пакетов оставалась доступной ещё после обнаружения атаки.

Злоумышленники действовали волнообразно: пакеты начали появляться 22 мая, после чего активно обновлялись в выходные дни. Все они маскировались под обычные полезные инструменты для разработчиков, что позволило им быстро распространяться среди целевой аудитории.

Цель атаки — крипторазработчики

В отличие от массового вредоносного ПО, Trapdoor ориентирован на высокодоходные цели. Разработчики криптовалютных проектов часто хранят на рабочих машинах приватные ключи кошельков, seed-фразы, API-ключи бирж, токены GitHub и SSH-ключи. Именно эту чувствительную информацию и пытается выкрасть Trapdoor.

Попадая в среду разработки, malware собирает:

• Данные криптокошельков
• Учётные данные облачных сервисов
• Токены доступа
• SSH-ключи

Новый приём: обман инструментов ИИ

Особенно интересной особенностью Trapdoor стало использование директив для ИИ-ассистентов (таких как GitHub Copilot, Cursor и других). Вредоносные пакеты содержат специальные инструкции, которые пытаются заставить ИИ-инструменты провести «сканирование безопасности» и случайно вывести конфиденциальные данные в лог или чат.

Хотя этот метод работает не со всеми моделями, сам факт его применения показывает, что хакеры активно экспериментируют с новыми средами разработки, включающими искусственный интеллект.

Тренд на рост supply chain атак

Это уже не первая подобная кампания. В сентябре прошлого года криптосообщество столкнулось с серией атак на пакеты, используемые в разработке кошельков. Тогда злоумышленники также модифицировали легитимные библиотеки для кражи Bitcoin, Ethereum, Solana и других активов.

Эксперты отмечают, что разработчики криптопроектов становятся всё более привлекательной целью: у них одновременно высокий уровень доступа и часто недостаточное внимание к безопасности зависимостей.

Рекомендации Socket и другим экспертам:

• Тщательно проверять все новые зависимости перед использованием
• Использовать инструменты сканирования supply chain (типа Socket)
• Ограничить права и доступы в среде разработки
• Отделять рабочие ключи от среды разработки

Trapdoor — очередное напоминание, что в мире open-source безопасность цепочки поставок остаётся одним из самых слабых мест, особенно для индустрии, где цена ошибки измеряется в миллионах долларов.