นักวิจัยที่ Soclet ได้ค้นพบกลวิธีโจมตีซัพพลายใหม่ที่มุ่งเป้านักพัฒนาโครงการคริปโตรวมถึงผ่านแพ็กเกจ npm, PyPI และ Crates.io โดยแคมเปญนี้มีชื่อว่า Trapdoor มุ่งขโมยคีย์วอลเล็ตคริปโตและข้อมูลลับอื่นๆ จากนักพัฒนาในแวดวงคริปโต
- ประเด็นสำคัญ:
-
- เมื่อวันที่ 22 พฤษภาคม Socket พบมัลแวร์ Trapdoor ติดเชื้อในแพ็กเกจของนักพัฒนา 34 รายการ เพื่อขโมยวอลเล็ตและคีย์คริปโต
-
- ครอบคลุม 384 เวอร์ชัน แคมเปญหลอกเครื่องมือ AI และส่งผลกระทบอย่างรุนแรงต่อตลาดการพัฒนา
-
- หลังการโจมตีที่คล้ายกันในเดือนกันยายน Socket เตือนว่านักพัฒนาต้องเร่งป้องกันสภาพแวดล้อม AI จากการถูกขโมยคริปโตด้วย
โครงการโจมตีซัพพลายเชน Trapdoor เล็งนักพัฒนาเพื่อประสิทธิภาพสูงสุด
แม้แคมเปญมัลแวร์บางส่วนจะมุ่งโจมตีผู้ใช้คริปโตทั่วไป แต่บางแคมเปญกลับเน้นนักพัฒนา โดยพยายามเข้าถึงเป้าหมายที่มีแนวโน้มถือครองคริปโตจำนวนมากกว่า และสามารถเข้าถึงทรัพยากรที่กว้างขึ้นได้
นักวิจัยจาก Socket บริษัทที่เชี่ยวชาญด้านการป้องกันการโจมตีซัพพลายเชน ได้ระบุแคมเปญขนาดใหญ่ที่มุ่งเป้านักพัฒนาในอุตสาหกรรมคริปโต ด้วยการใช้แพ็กเกจที่ติดเชื้อจากหลายแพลตฟอร์มพัฒนาอย่าง npm, PyPI และ Crates.io
โดยแคมเปญ Trapdoor การโจมตีซัพพลายเชนนี้ครอบคลุมแพ็กเกจ 34 รายการในสภาพแวดล้อมการพัฒนาดังกล่าว รวมถึงมากกว่า 384 เวอร์ชัน โดยบางรายการยังพร้อมใช้งาน Socket ระบุว่าแพ็กเกจที่ได้รับผลกระทบถูกเผยแพร่เป็นระลอกเริ่มตั้งแต่วันที่ 22 พฤษภาคม และมีการอัปเดตต่อเนื่องตลอดสุดสัปดาห์ถัดมา
แพ็กเกจเหล่านี้โดดเด่นจากลักษณะของมัน เนื่องจากมีการอ้างว่าเป็นเครื่องมือสำหรับนักพัฒนาทั่วไป และปรากฏขึ้นอย่างรวดเร็วในเวลาใกล้เคียงกันในหลายรีจิสทรี ซึ่งทำให้แคมเปญมี “การเข้าถึงอย่างกว้างขวางในชุมชนย่อยของนักพัฒนาที่อยู่ใกล้กัน ซึ่งมีแนวโน้มจะมีทั้งคีย์วอลเล็ตคริปโต ข้อมูลประจำตัวบนคลาวด์ โทเค็น Github และคีย์ SSH” Socket ประเมิน
แพ็กเกจที่ติดเชื้อจะแทรกซึมเข้าไปในสภาพแวดล้อมการพัฒนาของนักพัฒนาคริปโต โดยใช้เครื่องมือโอเพนซอร์สที่ถูกอ้างถึงเหล่านี้เป็นพาหะ จากนั้นจึงยึดข้อมูลลับ วอลเล็ตคริปโต คีย์ Secure Shell (SSH) และข้อมูลที่เกี่ยวข้องอื่นๆ
แพ็กเกจที่ติดเชื้อ Trapdoor ยังพยายามใช้ประโยชน์จากเครื่องมือ AI เพื่อร่วมขับเคลื่อนการโจมตี โดยใช้ไฟล์คำสั่งหลอกเครื่องมือเขียนโค้ดด้วย AI ให้เรียกใช้การสแกนด้านความปลอดภัย และส่งออกข้อมูลที่ละเอียดอ่อนอย่างยิ่ง
Socket ระบุว่า แม้วิธีนี้อาจไม่สามารถได้ผลอย่างสม่ำเสมอในเครื่องมือและโมเดล AI ทุกตัว แต่การปรากฏอยู่ของเทคนิคดังกล่าวชี้ให้เห็นว่า ผู้โจมตีกำลัง “ทดลองอย่างจริงจังเกี่ยวกับสภาพแวดล้อมการพัฒนาโดยใช้ AI ในฐานะส่วนหนึ่งของแคมเปญมัลแวร์โจมตีซัพพลายเชน”
การโจมตีแบบเชื่อมโยงกันกำลังพบได้บ่อยขึ้น ในเดือนกันยายน ชุมชนคริปโตได้รับการเตือนเกี่ยวกับการแฮ็กที่คล้ายกัน โดยมีหลายแพ็กเกจที่ถูกใช้โดยวอลเล็ตคริปโตถูกบุกรุกและถูกแก้ไขเพื่อขโมยเงินคริปโตจากวอลเล็ตที่มีทั้ง bitcoin, ether และ solana รวมถึงสินทรัพย์ดิจิทัลอื่นๆ ด้วย
