Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой
Компания Socket предупредила о масштабной атаке на цепочку поставок, нацеленной на разработчиков криптовалют и искусственного интеллекта. Злоумышленники пытаются похитить цифровые активы и конфиденциальные данные.
22 мая специалисты выявили вредоносную кампанию под названием TrapDoor. В её рамках было распространено более 34 вредоносных пакетов и 384 их версии. Атакующие постоянно выпускали новые модификации в разных экосистемах.
Вирус ориентирован на разработчиков, работающих с криптовалютами, децентрализованными финансами (DeFi), искусственным интеллектом и системами безопасности. Он похищает данные криптокошельков, облачных аккаунтов, браузерных расширений, токены GitHub, а также SSH- и API-ключи.
Атака затрагивает популярные криптокошельки, включая Coinbase, Binance, Solana, Sui, Aptos и MetaMask, а также браузер Brave.
Технические подробности
Вредоносное ПО внедряет скрытые команды для перехвата контроля над ИИ-ассистентами для программирования, такими как Claude и Cursor.
«Цель — обманом заставить LLM-помощников запустить «проверку безопасности» или аналогичный процесс, что приводит к обнаружению и краже секретной информации», — пояснили в Socket.
TrapDoor целенаправленно атакует популярные платформы для разработчиков: npm, PyPI и Crates.
Некоторые npm-пакеты устанавливали общий модуль для поиска секретных данных разработчиков. Были замечены попытки закрепиться в системе через планировщики задач, службы и автозагрузку.
В пакетах для Rust находили локальные хранилища ключей и отправляли данные через GitHub Gists. В Python-пакетах код загружался с внешнего домена и выполнялся через Node.js, что позволяло менять поведение без выпуска новой версии.
Socket рекомендует считать среду, где установлены такие пакеты, потенциально скомпрометированной. Необходимо сменить ключи и токены, а также проверить систему на наличие механизмов закрепления. Простого удаления программы недостаточно.
«Названия вредоносных модулей подобраны так, чтобы выглядеть как помощники для разработчиков, инструменты настройки проектов, утилиты маршрутизации моделей, пакеты для разработки промптов, решения для Solidity или ассистенты для сборки Sui и Move», — отметили эксперты Socket.
Для распространения вредоносных пакетов использовался GitHub. Сама атака была организована с помощью ИИ.
Напомним, что 20 мая сам сервис GitHub был взломан — хакеры получили доступ к 3800 внутренних репозиториев.
Ранее, в мае, компания Anthropic опубликовала первый отчёт по программе Project Glasswing, направленной на поиск уязвимостей с помощью модели Claude Mythos.
Популярные лонгриды:
