主な要点:
- TrapDoorというコード名のサプライチェーン攻撃により、npm、PyPI、Crates.ioのリポジトリに34個以上の悪質なパッケージが配置されました。
- このマルウェアは、開発者の認証情報、SSHキー、クラウドトークン、およびSui、Solana、Aptosを含むチェーンの仮想通貨ウォレットの窃取を目的としています。
- このキャンペーンでは、プロジェクトの設定ファイル内に隠された指示を埋め込むことで、AIコーディングアシスタントを乗っ取るという新しい手法が使われています。
戻る
TrapDoorマルウェア、34個のパッケージを使用したサプライチェーン攻撃で開発者を標的に
仮想通貨およびAIの開発者を標的とした、組織的なソフトウェアサプライチェーン攻撃が進行しており、認証情報やデジタル資産を盗み出すために設計された34個以上の悪質なパッケージが確認されました。開発者プラットフォームSocketによって「TrapDoor」と名付けられたこのキャンペーンは、5月22日に初めて検出され、npm、PyPI、Crates.ioのオープンソースパッケージリポジトリに及んでいます。
Socketは日曜日に公開したレポートの中で、「TrapDoorは、仮想通貨、DeFi、Solana、およびAIコミュニティの開発者を標的にしています。これらの悪質なパッケージは、開発者の秘密情報、仮想通貨ウォレット、SSHキー、クラウド認証情報、ブラウザデータ、および環境変数を盗み出すように設計されています」と述べています。
このマルウェアキャンペーンは、エコシステムごとに異なる攻撃手法を用いるマルチプラットフォームなアプローチが特徴です。npmでは、認証情報を盗むペイロードを実行するためにpostinstallフックを使用します。PyPIのPythonパッケージは、インポート時にリモートのJavaScriptを取得して実行するように設計されており、Crates.ioのRustパッケージは、悪質なbuild.rsスクリプトを使用してローカルのキーストアを検索し、外部に送信します。この攻撃は、特にSui、Solana、Aptosなどのウォレットを標的にしています。
また、今回の作戦では、AIコーディングアシスタントを乗っ取ろうとする新しい脅威ベクトルも明らかになりました。攻撃者は、LangChainやLangflowなどの人気のあるAIプロジェクトにプルリクエストを送信し、.cursorrulesやCLAUDE.mdなどの設定ファイル内に隠された指示を追加しました。Socketによると、その目的はAIツールをだまして偽の「セキュリティスキャン」を実行させ、開発者の環境から秘密情報を発見して流出させることにあるようで、攻撃者が現代の開発者のワークフローを標的に進化していることを示しています。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。
