原文:Solana, Sui and Aptos wallet data targeted in TrapDoor package attack
一项新的加密货币盗窃活动针对的是最有可能在其计算机上拥有钱包密钥、云凭证和生产访问权限的开发人员。
安全公司 Socket 的研究人员本周早些时候表示,他们发现一种名为 TrapDoor 的供应链攻击遍布三个主要开源编程注册中心,其中包含超过 34 个恶意软件包以及数百个相关版本和工件。
一个关键的结论是攻击者变得更加专注。除了针对掌握关键信息的个人的社会工程之外,供应链攻击的目的不是攻击随机零售用户,而是攻击开发人员。这些人可能在用于构建加密和人工智能工具的同一台机器上拥有钱包文件、SSH 密钥、GitHub 令牌、云凭证和生产访问权限。
Socket 没有识别受害者或被盗资金,但表示这些软件包在 npm、PyPI 和 Crates.io 上存在,并且包含可以窃取钱包数据、泄露凭证、测试 AWS 和 GitHub 代币并留下文件以保持访问活动的有效负载。
用 JavaScript、Python 和 Rust 编程的软件包被伪装成开发人员助手、安全扫描器、钱包工具、Solidity 实用程序、AI 提示包以及 Sui 或 Move 构建助手。
无聊的设计
这些名字本来就很无聊。软件包被命名为“wallet-security-checker”、“defi-risk-scanner”、“solidity-build-guard”、“move-compiler-tools”和“llm-context-compressor”,看起来像是加密货币或人工智能开发人员可能不假思索地安装的那种小型实用程序。
然而,一旦安装,有效负载试图获取的不仅仅是包数据。
在 npm 包中,恶意软件在开发人员的计算机中搜索私钥、密码、GitHub 令牌和云登录信息。它还测试了一些被盗的凭据,尝试通过 SSH 密钥进入其他系统,并留下可能使感染保持活动状态的文件。
SSH 密钥是开发人员用来访问服务器的登录文件,