loading...
开发者平台Socket于近日发布报告,指出一项名为“TrapDoor”的活跃供应链攻击行动。该攻击自上周五被发现以来,已部署超过34个恶意软件包及384个相关版本。攻击者不断在各生态系统中推送新版本,以扩大攻击范围。Socket表示,TrapDoor主要针对加密货币、去中心化金融(DeFi)、人工智能以及安全领域的开发者,目的是窃取钱包数据、Secure Shell(SSH)密钥、云平台凭证、GitHub访问令牌、浏览器扩展数据和API密钥等敏感信息。
Socket首席技术官Ahmad Nassri进一步透露,被攻击目标包括Coinbase、Binance、Solana、Sui、Aptos、MetaMask等主流加密钱包,以及Brave浏览器。此外,攻击者还通过注入隐藏指令,试图“劫持AI编码助手”,涉及Claude和Cursor等工具。攻击者利用伪装成“安全扫描”或类似工作流程的方式,诱导AI助手执行操作,进而发现并泄露机密数据。[图1]
恶意软件包主要被上传至开发者常用资源库。这些资源库包括:npm(Node.js/JavaScript开发者包管理器,大多数网站和Web应用的基础)、PyPI(Python开发者资源库,广泛应用于数据科学、AI和自动化领域),以及Crates(Rust开发者使用)。攻击者精心命名恶意包,使其看起来像“开发辅助工具、项目设置工具、模型路由工具、提示工程包、Solidity工具集、Sui或Move构建辅助工具”。这种伪装策略使攻击能广泛覆盖相邻的开发者社区,因为这些环境中往往存在钱包、云凭证、GitHub令牌和SSH密钥。
GitHub平台也被用于传播这些恶意包。Socket指出,相关GitHub活动表现出快速、人工智能辅助迭代的迹象,包括:广泛的安全主题框架、通用的诱饵仓库、提示注入文档,以及混合了部分实现的数据窃取概念与工作恶意组件。
此次攻击发生在开发者工具供应链安全问题日益突出的背景下。此前,恶意行为者已开始将有毒软件包上传至开发者“应用商店”,利用开发者日常安装流程中缺乏检查的习惯进行渗透。值得关注的是,GitHub自身也曾于5月20日报告其内部仓库遭到未授权访问,起因是一名员工设备被入侵。TrapDoor攻击利用了类似的信任机制,攻击范围涵盖加密钱包、云凭据、GitHub令牌等关键资产,可能对依赖这些工具的开发者团队造成较大影响。
本文译自Cointelegraph,查看原文
6
1
80
49
100
390
724
307
838
1024
