Исследователи компании Socket обнаружили новую вредоносную кампанию, получившую название TrapDoor. Атака нацелена на разработчиков в сфере криптовалют, децентрализованных финансов, искусственного интеллекта и информационной безопасности. Злоумышленники распространяют 34 вредоносных пакета (и 384 связанные версии) через крупнейшие репозитории: npm, PyPI и Crates для Rust-экосистемы. Кампания была выявлена в пятницу, а к воскресенью масштаб уже оценивался как значительный.
Основная цель — хищение конфиденциальных данных, включая ключи криптокошельков, токены GitHub, облачные учётные данные, SSH-ключи и информацию браузеров. Среди атакованных платформ фигурируют кошельки и сервисы Coinbase, Binance, MetaMask, Brave, а также блокчейн-экосистемы Solana, Sui и Aptos. По словам главы отдела технологий Socket Ахмада Нассри, вредонос также пытается манипулировать ИИ-ассистентами вроде Claude и Cursor, внедряя скрытые инструкции, чтобы те запускали поддельные «проверки безопасности» и передавали секретные данные операторам кампании.
Вредоносные пакеты маскировались под легитимные утилиты для настройки проектов, инструменты маршрутизации моделей, фреймворки Solidity, средства разработки для Sui и Move. Такой подход позволял атакующим одновременно внедряться в сообщества JavaScript, Python, Rust, AI и блокчейн-разработки. В связанных GitHub-репозиториях обнаружены следы использования ИИ для генерации приманок — быстро созданные шаблонные репозитории, документация по инъекции промтов и частично готовые компоненты вредоносного кода.
Отдельный инцидент: ранее, 20 мая, GitHub сообщил о несанкционированном доступе к внутренним репозиториям после компрометации устройства одного из сотрудников. Исследователи Socket отметили, что медианное время обнаружения вредоносных версий составило 5 минут 27 секунд, а самое быстрое — всего 58 секунд после публикации пакета.
Кампания TrapDoor продолжает тренд целенаправленных атак на разработчиков через доверенные цепочки поставок. Ранее в этом году фиксировались случаи распространения вредоноса PHANTOMPULSE через приложение Obsidian (после контактов в LinkedIn и Telegram), а также атаки Lazarus Group с поддельными звонками Zoom и тактиками ClickFix для внедрения Mach-O Man на macOS-устройствах. Эксперты предупреждают: открытые репозитории и пакетные менеджеры становятся основными векторами проникновения в криптоинфраструктуру, поскольку разработчики часто устанавливают сторонние компоненты с повышенными правами без должной проверки.
