Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Платформа Socket выявила атаку на цепочку поставок, нацеленную на разработчиков криптовалют и систем искусственного интеллекта. Цель злоумышленников — хищение цифровых активов и конфиденциальных данных.
22 мая компания обнаружила вредоносную кампанию под названием TrapDoor. В рамках атаки было распространено свыше 34 вредоносных пакетов и 384 их версии. Злоумышленники постоянно выпускали новые модификации в разных экосистемах.
Вредоносное ПО ориентировано на разработчиков в сфере криптовалют, децентрализованных финансов, ИИ и кибербезопасности. Оно похищает данные криптокошельков, учетных записей облачных сервисов, браузерных расширений, токены GitHub, а также SSH- и API-ключи.
Атака затрагивает популярные криптокошельки, включая Coinbase, Binance, Solana, Sui, Aptos и MetaMask, а также браузер Brave.
Технические детали
Программа внедряет скрытые команды для перехвата ИИ-помощников по программированию, таких как Claude и Cursor.
«Задача — обманом заставить ассистентов на базе больших языковых моделей запустить “проверку безопасности” или аналогичный процесс, что приводит к обнаружению и краже секретных данных», — пояснили в Socket.
TrapDoor нацелен на популярные ресурсы для разработчиков: npm, PyPI и Crates.
Некоторые npm-пакеты устанавливали общий модуль, который искал секретные данные разработчиков. Были зафиксированы попытки закрепиться в системе через планировщики задач, службы и механизмы автозапуска.
В пакетах для Rust был обнаружен поиск локальных хранилищ ключей с последующей отправкой данных через GitHub Gists. В Python-пакетах код загружался с внешнего домена и выполнялся через Node.js, что позволяло менять поведение без выпуска новой версии.
Socket рекомендует считать среду с установленными такими пакетами потенциально скомпрометированной, сменить ключи и токены, а также проверить систему на наличие механизмов закрепления. Простого удаления программного компонента недостаточно.
«Названия вредоносных модулей подобраны так, чтобы выглядеть как помощники разработчика, инструменты настройки проектов, утилиты маршрутизации моделей, пакеты для инженерии промптов, решения для Solidity или ассистенты для сборки Sui и Move», — сообщили эксперты Socket.
GitHub использовался для распространения вредоносных пакетов. Атака была организована с помощью ИИ.
Сам сервис был взломан 20 мая — хакеры получили доступ к 3800 внутренних репозиториев.
Напомним, что в мае Anthropic опубликовала первый отчет по Project Glasswing — программе поиска уязвимостей с использованием модели Claude Mythos.
Популярные новости: