Các ý chính:
Một cuộc tấn công chuỗi cung ứng phần mềm có sự phối hợp đang nhắm mục tiêu vào các nhà phát triển tiền điện tử và AI với hơn 34 gói độc hại được thiết kế để đánh cắp thông tin xác thực và tài sản kỹ thuật số. Chiến dịch này, được nền tảng dành cho nhà phát triển Socket đặt tên là “TrapDoor”, được phát hiện lần đầu tiên vào ngày 22 tháng 5 và trải dài trên các kho đăng ký gói mã nguồn mở npm, PyPI và Crates.io.
Socket cho biết trong một báo cáo công bố hôm Chủ nhật: “TrapDoor nhắm mục tiêu vào các nhà phát triển trong cộng đồng tiền điện tử, DeFi, Solana và AI. Các gói độc hại được thiết kế để đánh cắp các bí mật của nhà phát triển, ví tiền điện tử, khóa SSH, thông tin xác thực đám mây, dữ liệu trình duyệt và các biến môi trường”.
Chiến dịch mã độc này đáng chú ý vì cách tiếp cận đa nền tảng, sử dụng các phương thức tấn công khác nhau cho từng hệ sinh thái. Trên npm, nó sử dụng các hook postinstall để thực thi mã độc đánh cắp thông tin xác thực. Các gói Python trên PyPI được thiết kế để tải và chạy JavaScript từ xa khi được nhập, trong khi các gói Rust trên Crates.io sử dụng các tập lệnh build.rs độc hại để tìm và trích xuất các kho khóa cục bộ. Cuộc tấn công đặc biệt nhắm vào ví của Sui, Solana và Aptos, cùng nhiều loại ví khác.
Hoạt động này cũng tiết lộ một vectơ đe dọa mới nhằm cố gắng chiếm quyền điều khiển các trợ lý lập trình AI. Những kẻ tấn công đã gửi các yêu cầu kéo (pull request) đến các dự án AI phổ biến như LangChain và Langflow, thêm các hướng dẫn ẩn trong các tệp cấu hình như .cursorrules và CLAUDE.md. Socket cho biết mục tiêu có vẻ là đánh lừa các công cụ AI chạy các bản "quét bảo mật" giả mạo nhằm phát hiện và trích xuất các bí mật từ môi trường của nhà phát triển, cho thấy cách những kẻ tấn công đang phát triển để nhắm vào các quy trình làm việc hiện đại của nhà phát triển.
Bài viết này chỉ mang tính chất cung cấp thông tin và không cấu thành lời khuyên đầu tư.
