Кампания по вредоносному ПО TrapDoor проникает в цепочки поставок разработчиков, чтобы нацелиться на проекты криптовалюты и искусственного интеллекта

Оглавление Сложная вредоносная программа проникает в цепочку поставок разработки программного обеспечения, внедряя вредоносный код в пакеты, которые программисты, работающие над проектами криптовалют и искусственного интеллекта, регулярно включают в свои приложения. 🚨 СРОЧНАЯ ИНФОРМАЦИЯ: Активная атака на цепочку поставок через npm, PyPI и Crates.​io. Socket обнаружил TrapDoor, кампанию по краже криптовалют, затронувшую 34 вредоносных пакета и 384 версии и артефакты, при этом злоумышленники неоднократно распространяли новые выпуски по экосистемам. Цель TrapDoor… pic.twitter.com/0CI758NJ6T — Socket (@SocketSecurity) 24 мая 2026 г. Исследователи кибербезопасности из Socket в воскресенье опубликовали подробные выводы, документирующие кампанию атаки, которую они назвали «TrapDoor». Согласно хронологии Socket, первое открытие произошло в пятницу. За этот короткий период злоумышленники успешно развернули более 34 скомпрометированных пакетов и 384 связанных с ними версий, распределенных по нескольким платформам репозиториев разработчиков. Вредоносное ПО действует как инструмент кражи данных, предназначенный для сбора конфиденциальной информации. Его объем включает в себя учетные данные криптовалютного кошелька, ключи аутентификации безопасной оболочки, токены доступа к облачной инфраструктуре, токены личного доступа GitHub, информацию о расширениях браузера и ключи интерфейса программирования приложений. Ахмад Насри, технический директор Socket, подтвердил, что вредоносное ПО специально преследует многочисленные известные платформы криптовалютных кошельков. В целевой список входят Coinbase, Binance, Solana, Sui, Aptos и MetaMask. Кроме того, в зону атаки включены встроенные функции кошелька браузера Brave. Особенно инновационный элемент отличает TrapDoor от обычных вредоносных программ. Оперативные предприятия скрывали директивы в помощниках по разработке на базе искусственного интеллекта, в частности, нацеленные на Клода и Курсора. Эти встроенные инструкции манипулируют инструментами, заставляя их выполнять то, что маскируется под законный аудит безопасности, что впоследствии заставляет ИИ-помощника находить и передавать конфиденциальную информацию, в то время как разработчик остается в полном неведении. Скомпрометированные пакеты проникли в три основные экосистемы пакетов разработчиков. Эти платформы включают npm, стандартный репозиторий для сообществ разработчиков JavaScript и Node.js; PyPI, широко используемый в проектах по науке о данных, машинному обучению и автоматизации; и Crates, обслуживающий базу разработчиков языка программирования Rust. Номенклатура вредоносных пакетов была создана для имитации законных ресурсов разработки. Анализ Socket показал, что они были разработаны для имитации общих утилит разработки, инфраструктур инициализации проектов, библиотек маршрутизации моделей и инструментов компиляции для платформ блокчейнов Solidity, Sui и Move. Эта стратегическая маскировка обеспечивает кампании широкий охват сообществ разработчиков, регулярно участвующих в интеграции криптовалютных кошельков, управлении облачной инфраструктурой и рабочих процессах совместной работы GitHub. Расследование Socket выявило признаки, указывающие на помощь искусственного интеллекта в проведении кампании. Репозитории GitHub демонстрировали такие характеристики, как обширные структуры инфраструктуры, ориентированные на безопасность, общие репозитории-ловушки и справочные материалы для быстрого внедрения, интегрированные с функциональными элементами вредоносного ПО. GitHub служил основным каналом распространения скомпрометированных пакетов. Примечательно, что платформа ранее уже раскрыла отчетный инцидент безопасности, произошедший 20 мая, связанный с несанкционированным проникновением во внутренние репозитории кода после успешного взлома компьютерного устройства сотрудника. Socket зафиксировал, что среднее время обнаружения вредоносных версий пакетов составило 5 минут 27 секунд. Самая быстрая идентификация произошла всего через 58 секунд после публикации пакета. Эта атака иллюстрирует растущую тенденцию злоумышленников, внедряющих зараженные пакеты в репозитории разработчиков, используя тот факт, что программисты часто устанавливают зависимости в качестве стандартных процедур рабочего процесса, обычно без тщательной проверки безопасности. Socket воздержался от приписывания TrapDoor каким-либо конкретным субъектам угроз или организованным группам киберпреступников. На момент публикации кампания оставалась оперативно активной.