ผู้โจมตีอยู่ข้างหลัง. ประตูกับดัก ไล่ตามมากกว่ากระเป๋าเงินและรหัสผ่าน พวกเขาฝังคำแนะนำที่ซ่อนอยู่ไว้ในแพ็คเกจที่ออกแบบมาเพื่อจัดการกับผู้ช่วยเขียนโค้ด AI
ตามข้อมูลของบริษัทรักษาความปลอดภัย Socket เป้าหมายคือการหลอกลวงเครื่องมืออย่าง Claude และ Cursor ให้เรียกใช้สิ่งที่ดูเหมือนจะเป็นการสแกนความปลอดภัยตามปกติ ซึ่งจะค้นพบและส่งความลับที่จัดเก็บไว้ในเครื่องของนักพัฒนาอย่างเงียบๆ
Socket แพลตฟอร์มความปลอดภัยสำหรับนักพัฒนา ตรวจพบ การรณรงค์เมื่อวันศุกร์และเผยแพร่ผลการวิจัยในวันอาทิตย์ รายงานระบุว่าการดำเนินการดังกล่าวได้เผยแพร่แพ็คเกจที่เป็นอันตรายมากกว่า 34 รายการและเวอร์ชันที่เกี่ยวข้อง 384 รายการเมื่อตรวจพบ โดยผู้โจมตียังคงเผยแพร่การอัปเดตใหม่ ๆ อย่างต่อเนื่องในระบบนิเวศซอฟต์แวร์หลายแห่ง
ด่วน ด่วน: การโจมตีห่วงโซ่อุปทานที่ใช้งานอยู่ข้าม npm, PyPI และ Crates.io
Socket ตรวจพบ TrapDoor ซึ่งเป็นแคมเปญขโมยคริปโตที่โจมตีแพ็คเกจที่เป็นอันตราย 34 รายการ เวอร์ชันและอาร์ติแฟกต์ 384 รายการ โดยผู้โจมตีเผยแพร่เวอร์ชันใหม่ซ้ำแล้วซ้ำเล่าทั่วทั้งระบบนิเวศ
เป้าหมายประตูกับดัก… pic.twitter.com/0CI758NJ6T
– ซ็อกเก็ต (@SocketSecurity) 24 พฤษภาคม 2569
กระเป๋าเงิน กุญแจ และข้อมูลประจำตัวบนคลาวด์ล้วนตกอยู่ในความเสี่ยง
ที่ มัลแวร์ ทอดแหไว้กว้างๆ Socket กล่าวว่า TrapDoor ถูกสร้างขึ้นเพื่อขโมยข้อมูลจากกระเป๋าสตางค์ crypto ที่สำคัญหลายแห่ง เช่น Coinbase, Binance, Solana, Sui, Aptos และ MetaMask รวมถึงเบราว์เซอร์ Courageous นอกเหนือจากข้อมูลกระเป๋าสตางค์แล้ว มัลแวร์ยังติดตามคีย์ SSH, ข้อมูลรับรองระบบคลาวด์, โทเค็น GitHub, ข้อมูลส่วนขยายเบราว์เซอร์ และคีย์ API
🚨 การโจมตีห่วงโซ่อุปทานของ TrapDoor กระทบถึง npm, PyPI และ Crates-iohttps://t.co/Q4ZUsUnZWY
แพ็คเกจที่เป็นอันตราย 34 รายการใน 384 เวอร์ชันถูกใช้เพื่อขโมยกระเป๋าสตางค์ crypto, คีย์ SSH, ข้อมูลรับรองระบบคลาวด์ และความลับของนักพัฒนาจากสภาพแวดล้อม crypto, DeFi, Solana และ AI
มัลแวร์… pic.twitter.com/GJKcgUK9RK
– ข่าวแฮ็กเกอร์ (@TheHackersNews) 25 พฤษภาคม 2569
แคมเปญนี้แพร่กระจายไปยังที่เก็บแพ็คเกจนักพัฒนาหลักสามแห่ง: npm ซึ่งให้บริการนักพัฒนา JavaScript และ Node.js; PyPI ใช้กันอย่างแพร่หลายใน Python วิทยาศาสตร์ข้อมูล และงานระบบอัตโนมัติ และ Crates ศูนย์กลางแพ็คเกจสำหรับนักพัฒนา Rust
ชื่อแพ็คเกจถูกเลือกอย่างระมัดระวังเพื่อให้ดูเหมือนเครื่องมือมาตรฐาน — ตัวช่วยในการพัฒนา, ยูทิลิตีการตั้งค่าโปรเจ็กต์, แพ็คเกจทางวิศวกรรมที่รวดเร็ว และตัวช่วยในการสร้าง Solidity หรือ Sui — ทำให้ง่ายต่อการมองข้ามระหว่างการติดตั้งตามปกติ
Ahmad Nassri ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Socket กล่าวเมื่อวันอาทิตย์ว่ากิจกรรม GitHub ที่เชื่อมโยงกับแคมเปญแสดงให้เห็นสัญญาณของการพัฒนาที่ได้รับความช่วยเหลือจาก AI โดยชี้ไปที่เทมเพลตที่มีธีมความปลอดภัยแบบกว้าง แหล่งเก็บข้อมูลล่อทั่วไป และการผสมผสานแนวคิดการสกัดที่สร้างขึ้นบางส่วนควบคู่ไปกับส่วนประกอบมัลแวร์ที่ใช้งานได้
สัญญาณของการปฏิบัติการที่ใหญ่ขึ้นและมีการประสานงานกัน
ระยะเวลาของแคมเปญทำให้เกิดคำถามเนื่องจาก GitHub รายงานการเข้าถึงที่เก็บข้อมูลภายในโดยไม่ได้รับอนุญาตเมื่อวันที่ 20 พฤษภาคม เพียงไม่กี่วันก่อนที่ TrapDoor จะถูกตรวจพบ การละเมิดดังกล่าวเกิดขึ้นตามการประนีประนอมของอุปกรณ์ของพนักงานตามรายงาน
Socket อธิบายว่า TrapDoor เป็นการโจมตีที่มีการประสานงานซึ่งมุ่งเป้าไปที่ crypto, การเงินแบบกระจายอำนาจ, AI และนักพัฒนาความปลอดภัย – ชุมชนที่ข้อมูลประจำตัวที่ละเอียดอ่อนและการเข้าถึงกระเป๋าเงินเป็นเรื่องปกติ
แคมเปญนี้ทำให้ผู้โจมตีเข้าถึงได้ในวงกว้างอย่างแม่นยำ เนื่องจากชุมชนนักพัฒนาที่เป็นเป้าหมายมักจะทำงานในเครื่องมือและระบบนิเวศเดียวกัน
ภาพเด่นจาก Unsplash แผนภูมิจาก TradingView
กระบวนการบรรณาธิการ สำหรับ bitcoinist มุ่งเน้นไปที่การนำเสนอเนื้อหาที่ได้รับการวิจัยอย่างละเอียด ถูกต้อง และเป็นกลาง เรารักษามาตรฐานการจัดหาที่เข้มงวด และแต่ละหน้าได้รับการตรวจสอบอย่างเข้มงวดโดยทีมผู้เชี่ยวชาญด้านเทคโนโลยีชั้นนำและบรรณาธิการผู้ช่ำชองของเรา กระบวนการนี้ทำให้มั่นใจในความสมบูรณ์ ความเกี่ยวข้อง และคุณค่าของเนื้อหาของเราสำหรับผู้อ่านของเรา
