Tyrėjai įspėja kripto kūrėjus: daugiau nei 34 pavojingi paketai aptikti populiariuose programavimo registruose

Kibernetinio saugumo bendrovės „Socket“ tyrėjai pranešė aptikę naują kenkėjiškų programų platinimo kampaniją „TrapDoor“, nukreiptą į kriptovaliutų kūrėjų aplinkas. Pasak jų, atakos taikiniais tapo ekosistemos, susijusios su Aptos, Sui ir Solana, o platinimui pasitelkti populiarūs programavimo paketų katalogai.

Tyrimo duomenimis, identifikuota daugiau nei 34 kenkėjiški paketai, išplatinti per tris registrus: „npm“, „PyPI“ ir „Crates.io“. Iš viso suskaičiuota daugiau nei 384 šių paketų versijos, o dalis pavadinimų buvo parinkti taip, kad primintų įprastus kūrėjų įrankius ir bibliotekas.

Kaip veikia ataka?

Tyrėjų teigimu, „TrapDoor“ sukurta vogti jautrius duomenis iš programuotojų kompiuterių ir darbo aplinkų. Tarp taikinių įvardijami SSH raktai, kriptovaliutų piniginių saugyklos, „AWS“ prisijungimai, „GitHub“ prieigos raktai ir naršyklių prisijungimų duomenų bazės.

Kenksmingas kodas aktyvuojamas skirtingais būdais, priklausomai nuo ekosistemos. „npm“ atveju tai gali būti automatiniai diegimo scenarijai, „Python“ paketuose vykdymas inicijuojamas importavimo metu, o „Rust“ aplinkoje pasitelkiami projekto surinkimo scenarijai, kurie startuoja kompiliavimo metu.

Kodėl taikomi būtent kūrėjai?

Kripto projektų kūrėjų kompiuteriuose ir CI aplinkose dažnai laikomi raktai, žetonai bei prieigos prie infrastruktūros duomenys, todėl vienas sėkmingas užkratas gali atverti kelią daug platesnei kompromitacijai. Nutekinti prisijungimai gali būti panaudoti tiek lėšoms iš piniginių, tiek prieigai prie kodų saugyklų, debesijos resursų ar projektų tiekimo grandinės.

„Socket“ tyrėjai atkreipė dėmesį, kad paketų pavadinimai buvo kuriami taip, jog atrodytų susiję su kripto, DeFi, saugumo ar net DI darbo srautais. Tokia taktika didina tikimybę, kad kūrėjai atsisiųs paketą manydami, jog tai pagalbinis įrankis ar populiarios bibliotekos priedas.

Ką verta daryti dabar?

Praktikoje svarbiausia peržiūrėti, kokie paketai pastaruoju metu buvo įtraukti į projektus, ir įsitikinti jų kilme bei reputacija. Taip pat verta apriboti, kokius slaptus raktus kūrimo aplinka gali pasiekti pagal nutylėjimą, ir atskirti darbo stotis nuo kritinių raktų saugyklų.

Ekspertai primena, kad tokio tipo kampanijos rodo augančią programinės įrangos tiekimo grandinės riziką: užtenka vieno „patogaus“ paketo, kad užkratas patektų į organizacijos vidų. Dėl to vis dažniau rekomenduojama taikyti griežtesnę priklausomybių kontrolę, registrų leidimų ribojimą ir nuolatinę saugumo stebėseną.

„Matome mažos apimties, bet didelės žalos kampaniją: paketų nėra daug, tačiau taikomasi į aplinkas, kuriose saugomi itin vertingi autentifikavimo ir finansiniai duomenys“, – sakė „Socket“ tyrėjai.