Sicherheitsforscher von SlowMist veröffentlichen einen ausführlichen technischen Bericht über TrapDoor, einen gefährlichen Supply-Chain-Angriff, der sich gegen Entwickler in der Krypto-, DeFi- und KI-Branche richtet. Die Kampagne verbreitet sich gleichzeitig über mehrere Ökosysteme und stiehlt sensible Zugangsdaten mithilfe von mehr als 34 schädlichen Paketen und 384 verschiedenen Versionen davon.
Solana ist bei Bitvavo und Bybit erhältlich.
Angriff trifft gleichzeitig npm, PyPI und Crates.io
TrapDoor wird am 24. Mai erstmals von SocketSecurity enthüllt. SlowMist greift die Informationen auf und führt mithilfe seines MistEye-Threat-Intelligence-Systems weitere Untersuchungen durch, woraufhin das Unternehmen eine frühe Warnung veröffentlicht. Der Angriff richtet sich gegen drei große Paket-Registries: npm, PyPI und Crates.io, und betrifft damit Entwickler in einer Vielzahl von Ökosystemen, darunter Solana, Sui/Move und KI.
Für den Bericht wählt SlowMist drei repräsentative Beispiele aus. Auf PyPI handelt es sich um das Paket git-config-sync, das als Tool zur Synchronisierung von Git-Einstellungen getarnt ist. Auf npm taucht token-usage-tracker auf, das vorgibt, die Nutzung von Tokens zu überwachen. Über Crates.io zirkuliert sui-framework-helpers, präsentiert als Hilfsbibliothek für die Sui-Move-Entwicklung. Alle diese Pakete wirken auf den ersten Blick legitim, enthalten jedoch schädlichen Code.
Vollständige Angriffskette rekonstruiert
SlowMist rekonstruiert für jedes Paket die vollständige Angriffskette. Die Infektion beginnt über sogenannte Entry-Point-Trigger wie postinstall-Skripte, init.py– und build.rs-Dateien. Sobald ein Entwickler ein solches Paket installiert, beginnt die Malware damit, sensible Daten zu sammeln. Dazu gehören Zugangsdaten, private Schlüssel und andere vertrauliche Informationen, die sich auf dem System befinden.
Die gestohlenen Daten werden anschließend verschlüsselt und über mehrere Kanäle versendet, darunter ddjidd564.github.io, GitHub Gists und webhook.site. Dadurch können Angreifer aus der Ferne Kontrolle über infizierte Systeme ausüben. Laut SlowMist sind solche Supply-Chain-Angriffe besonders gefährlich, weil sie über vertrauenswürdige Tools eindringen, die täglich von Hunderten Entwicklern genutzt werden. Wer als Solana– oder DeFi-Entwickler aktiv ist, sollte die vollständige technische Analyse von SlowMist aufmerksam lesen.
Der Mitgründer von OpenZeppelin warnte bereits zuvor, dass DeFi strukturell unsicher sei, und Angriffe wie TrapDoor zeigen, dass die Bedrohung auch außerhalb der Protokolle selbst besteht. Der vollständige Bericht von SlowMist ist über Medium verfügbar.
Sichern Sie sich vorübergehend 10 Euro kostenloses Solana bei Bitvavo
Treue Blockchain Stories-Leser erhalten vorübergehend 10 Euro in Solana oder eine andere Kryptowährung von Bitvavo. Zusätzlich können Sie bis zu 10.000 € innerhalb der ersten 7 Tage nach Ihrer Registrierung völlig provisionsfrei handeln.
Fordern Sie Ihren SOL-Bonus über den untenstehenden Button an und starten Sie bei Bitvavo mit 10 € kostenlosem Solana (eine Einzahlung von 10 € zur Verifizierung ist erforderlich). Bitvavo ist der Marktführer in Europa mit über 2 Millionen Nutzern und einer MiCA-Lizenz.
Alle Bedingungen für den Bonus finden Sie auf der Aktionsseite.