Вредонос TrapDoor атакует инструменты разработчиков криптовалют через цепочку поставок

Платформа безопасности Socket сообщила об обнаружении активной кампании вредоносного ПО под названием TrapDoor, нацеленной на разработчиков криптовалют и искусственного интеллекта. По данным компании, атака осуществляется через цепочку поставок: злоумышленники разместили более 34 вредоносных пакетов (384 версии) в популярных репозиториях, включая npm, PyPI и Crates.

Вредонос нацелен на кражу данных криптокошельков (Coinbase, Binance, Solana, Sui, Aptos, MetaMask), ключей SSH, токенов GitHub, облачных учетных данных и данных расширений браузеров. Также TrapDoor способен внедрять скрытые инструкции в AI-ассистентов кодинга, таких как Claude и Cursor, с целью запуска фиктивных «проверок безопасности» и последующей эксфильтрации данных.

Как отметил технический директор Socket Ахмад Насри, кампания активно использует подставные пакеты, маскирующиеся под инструменты разработки: хелперы для настройки проектов, утилиты для маршрутизации моделей и работы с Solidity. Это обеспечивает широкий охват среди разработчиков, у которых могут быть доступны криптовалютные кошельки и ключи.

Платформа GitHub также была задействована для распространения вредоносных пакетов. По данным Socket, активность в GitHub указывает на использование AI-инструментов для быстрой генерации поддельных репозиториев и документации. Ранее, 20 мая, GitHub сам сообщил о несанкционированном доступе к своим внутренним репозиториям после компрометации устройства сотрудника.

Эксперты отмечают, что разработчики криптовалют и AI становятся все более привлекательной целью для атак через цепочку поставок, так как они часто устанавливают пакеты из репозиториев без тщательной проверки. TrapDoor не является единичным инцидентом: ранее в мае произошли атаки на THORChain и эксплойт стейблкоинов StablR.