주요 요점:
- TrapDoor라는 코드명의 공급망 공격이 npm, PyPI, Crates.io 레지스트리에 34개 이상의 악성 패키지를 배포했습니다.
- 이 악성코드는 개발자 자격 증명, SSH 키, 클라우드 토큰 및 Sui, Solana, Aptos를 포함한 체인의 암호화폐 지갑을 훔치는 것을 목표로 합니다.
- 이 캠페인은 프로젝트 구성 파일 내에 숨겨진 지침을 심어 AI 코딩 어시스턴트를 하이재킹하는 새로운 기술을 사용합니다.
뒤로
TrapDoor 악성코드, 34개 패키지를 통한 공급망 공격으로 개발자 표적화
암호화폐 및 AI 개발자를 겨냥한 조율된 소프트웨어 공급망 공격이 발생했으며, 자격 증명과 디지털 자산을 훔치기 위해 설계된 34개 이상의 악성 패키지가 발견되었습니다. 개발자 플랫폼 Socket이 'TrapDoor'라고 명명한 이 캠페인은 5월 22일 처음 탐지되었으며 npm, PyPI, Crates.io 오픈 소스 패키지 레지스트리에 걸쳐 있습니다.
Socket은 일요일에 발표한 보고서에서 "TrapDoor는 암호화폐, DeFi, Solana 및 AI 커뮤니티의 개발자를 표적으로 삼고 있습니다. 이 악성 패키지들은 개발자의 비밀 정보, 암호화폐 지갑, SSH 키, 클라우드 자격 증명, 브라우저 데이터 및 환경 변수를 훔치도록 설계되었습니다"라고 밝혔습니다.
이 악성코드 캠페인은 각 생태계에 대해 서로 다른 공격 방법을 사용하는 멀티 플랫폼 접근 방식이 특징입니다. npm에서는 postinstall 후크를 사용하여 자격 증명을 훔치는 페이로드를 실행합니다. PyPI의 Python 패키지는 임포트 시 원격 JavaScript를 가져와 실행하도록 설계되었으며, Crates.io의 Rust 패키지는 악성 build.rs 스크립트를 사용하여 로컬 키 저장소를 찾아 유출합니다. 이 공격은 특히 Sui, Solana, Aptos 등의 지갑을 겨냥합니다.
또한 이번 작전은 AI 코딩 어시스턴트를 하이재킹하려는 새로운 위협 벡터를 드러냈습니다. 공격자들은 LangChain 및 Langflow와 같은 인기 있는 AI 프로젝트에 풀 리퀘스트를 제출하여 .cursorrules 및 CLAUDE.md와 같은 구성 파일에 숨겨진 지침을 추가했습니다. Socket은 목표가 AI 도구를 속여 가짜 '보안 스캔'을 실행하게 함으로써 개발자 환경에서 비밀 정보를 찾아 유출하는 것으로 보이며, 이는 공격자들이 현대적인 개발자 워크플로우를 겨냥하여 진화하고 있음을 보여준다고 설명했습니다.
이 기사는 정보 제공 목적으로만 작성되었으며 투자 조언을 구성하지 않습니다.
