crypto.ru
Компания Socket сообщила о вредоносной программе TrapDoor, направленной против разработчиков, работающих с криптовалютами, искусственным интеллектом и DeFi-проектами. По данным исследователей, злоумышленники распространяют зараженные пакеты через популярные репозитории, маскируя их под обычные инструменты для разработки.
Атаку обнаружили 23 мая. Специалисты выявили более 34 вредоносных пакетов и свыше 384 связанных версий. При этом продолжают выпускаться новые модификации, адаптированные их под разные экосистемы и языки программирования. TrapDoor предназначен для кражи конфиденциальной информации. Виру способен получать доступ к данным криптокошельков, SSH-ключам, API-ключам, токенам GitHub, облачным учетным данным и информации из браузерных расширений. Среди потенциальных целей были названы Coinbase, Binance, MetaMask, Solana, Sui, Aptos и браузер Brave.
Одной из ключевых особенностей атаки стала попытка использовать ИИ-помощников для программирования. В зараженных пакетах специалисты обнаружили скрытые инструкции для сервисов Claude и Cursor. По версии аналитиков, злоумышленники пытаются заставить ИИ запускать фиктивные проверки безопасности, которые могут привести к раскрытию секретных данных пользователя.
Для распространения вредоносного ПО использовались крупнейшие платформы для разработчиков JavaScript, Python и Rust. Зараженные пакеты выдавались за инструменты настройки библиотеки для работы с ИИ-моделями, решения для Solidity и компоненты для экосистем Sui и Move.
В Socket считают, что при создании атаки активно применялись ИИ-инструменты. На это указывают шаблонные описания, автоматически сгенерированная документация и многочисленные репозитории-приманки, размещенные на GitHub.
Эксперты рекомендуют разработчикам внимательнее проверять устанавливаемый софт и не использовать непроверенные пакеты из открытых репозиториев.