Кампания вредоносных пакетов нацелена на кражу криптовалютных средств и внедряет скрытые инструкции, перехватывающие работу популярных AI-ассистентов для программирования. Об этом сообщает платформа Socket, специализирующаяся на безопасности цепочек поставок (supply chain) в разработке.
Как злоумышленники обманывают AI-ассистентов для кражи крипты
Злоумышленники распространяют вредоносные пакеты, которые маскируются под легитимные библиотеки и инструменты, используемые разработчиками криптовалютных приложений. Внутрь таких пакетов внедряется код, способный незаметно похищать приватные ключи, данные кошельков и другие конфиденциальные сведения.
Особенность кампании «TrapDoor» — использование скрытых инструкций, которые перехватывают управление популярными AI-ассистентами для написания кода. Такие ассистенты, как GitHub Copilot или аналогичные, могут быть обмануты и начать генерировать уязвимый код по команде атакующих. Это позволяет внедрять бэкдоры непосредственно в разрабатываемые проекты на этапе их создания.
Напомним, что ранее GitHub уже сталкивался с масштабной утечкой данных, когда злоумышленники похитили 3800 внутренних репозиториев.
Приватные ключи и сид-фразы под угрозой
Основная цель атаки — кража криптовалютных средств. Вредоносные пакеты нацелены на инструменты разработчиков, которые работают с блокчейн-проектами, смарт-контрактами и децентрализованными приложениями (dApps).
- Вредонос перехватывает трафик между разработчиком и криптовалютным кошельком.
- Похищаются сид-фразы и приватные ключи, хранящиеся в локальной среде разработки.
- Код может подменять адреса получателей при подписании транзакций, перенаправляя средства злоумышленникам.
Любой разработчик, использующий непроверенные пакеты из открытых репозиториев, рискует потерять средства, находящиеся под управлением его инструментов.
Почему атаки на цепочку поставок стали главной угрозой для стартапов
Атаки на цепочку поставок (supply chain attacks) становятся всё более распространённым вектором угроз в криптоиндустрии. Вместо взлома готового продукта злоумышленники внедряются на этапе его создания, что позволяет поразить сразу множество проектов, использующих скомпрометированную библиотеку. Особенно уязвимы небольшие команды и стартапы, которые часто полагаются на сторонние пакеты без тщательного аудита безопасности.
По данным Socket, кампания «TrapDoor» продолжает развиваться, и число заражённых пакетов может расти. Разработчикам рекомендуется проверять все используемые зависимости с помощью инструментов анализа безопасности и не доверять непроверенным источникам. В свете этой угрозы специалисты советуют регулярно обновлять инструменты разработки, использовать изолированные среды (sandbox) для тестирования новых пакетов и применять многофакторную аутентификацию для доступа к криптокошелькам.