Socket hat eine sich rasch ausbreitende Malware-Kampagne namens TrapDoor aufgedeckt, die auf Open-Source-Pakete abzielt, die von Krypto- und DeFi-Entwicklern genutzt werden. Der Supply-Chain-Angriff umfasst bereits 34 bösartige Pakete sowie 384 Versionen und Artefakte, wobei die Angreifer immer wieder neue Versionen in verschiedenen Ökosystemen veröffentlichen. Laut den Telemetriedaten von Socket konzentriert sich die Kampagne darauf, sensible Daten aus Entwicklerumgebungen zu stehlen, anstatt nur eine einzelne Wallet zu leeren.
Wie TrapDoor Krypto- und Entwicklerumgebungen ins Visier nimmt
TrapDoor zielt auf Teams ab , die in den Bereichen Krypto, DeFi, KI und Sicherheit arbeiten, wo ein einziger gehackter Rechner hochwertige Geheimnisse preisgeben kann. Die Malware schnappt sich aktiv lokale Wallets, SSH-Schlüssel, Cloud-Anmeldedaten, GitHub-Token, Browserdaten, Umgebungsvariablen und API-Schlüssel – alles auf einmal. Viele Web3- und Infrastruktur-Ingenieure verwenden Schlüssel projekt- und dienstübergreifend wieder; daher könnte eine einzige erfolgreiche Infektion Angreifern weitreichenden Zugriff auf private Repos, Produktionsserver und Treasury-Systeme verschaffen.
Die Angreifer versteckten TrapDoor hinter Paketen, die wie gewöhnliche Tools oder Bibliotheken aussahen, und veröffentlichten dann zahlreiche Updates, um die Aktivität der Malware aufrechtzuerhalten und einfache Reputationsprüfungen zu umgehen. Jede neue Version war eine Chance, neue Opfer zu erreichen, bevor Sicherheitstools oder Betreuer reagieren konnten. Das führt dazu, dass Entwickler Abhängigkeiten ohne sorgfältige Prüfung installieren oder aktualisieren und den Stealer als Teil ihres normalen Prozesses ausführen, ohne es zu merken.
Sockets schnelle Erkennung zeigt, was auf dem Spiel steht
Sobald Malware-Veröffentlichungen in den Registern auftauchten, wurden sie laut Socket durch automatische Analysen schnell identifiziert. Das Unternehmen gibt an, dass es im Median 5 Minuten und 27 Sekunden dauert, bis das System eine Veröffentlichung als schädlich markiert. Im schnellsten Fall konnte Socket ein mit TrapDoor infiziertes Paket innerhalb von 58 Sekunden nach der Veröffentlichung identifizieren, was das Zeitfenster für Angreifer, Nutzer in großem Umfang zu infizieren, erheblich verkleinerte.
Schnelle Erkennung. Dennoch verdeutlicht die Kampagne, wie anfällig Software-Lieferketten für Krypto- und DeFi-Entwickler nach wie vor sind. Die Malware ist auf Geheimnisse wie Wallets und Schlüssel aus; daher gehören zu den Best Practices nun das Sperren von Umgebungsvariablen, das Rotieren von Anmeldedaten nach jeder verdächtigen Änderung von Abhängigkeiten und der Einsatz von Tools, die das Verhalten von Paketen vor der Installation bewerten, nicht erst nach einem Vorfall. Für Teams mit On-Chain-Assets ist TrapDoor ein klares Signal dafür, dass die größten Verluste häufig in einem Entwicklerterminal beginnen, nicht auf einer öffentlichen Blockchain.
WEITERLESEN: Top-AI-Coins Akash Network, FET und Venice Token legen vor dem OpenAI-Börsengang zu
