Kampanye pencurian kripto baru menargetkan pengembang yang paling mungkin menyimpan kunci dompet, kredensial cloud, dan akses produksi di mesin mereka.
Peneliti dari perusahaan keamanan Socket awal pekan ini menyatakan mereka mengidentifikasi serangan rantai pasokan bernama TrapDoor yang menyebar di tiga registri pemrograman sumber terbuka utama, dengan lebih dari 34 paket berbahaya dan ratusan versi serta artefak terkait.
Poin kuncinya adalah penyerang menjadi lebih terfokus. Selain rekayasa sosial yang menargetkan individu yang memegang informasi kunci, serangan rantai pasokan dirancang bukan untuk menangkap pengguna ritel secara acak, melainkan pengembang. Merekalah orang-orang yang mungkin memiliki file dompet, kunci SSH, token GitHub, kredensial cloud, dan akses produksi di mesin yang sama yang mereka gunakan untuk membangun alat kripto dan AI.
Socket tidak mengidentifikasi korban atau dana yang dicuri, tetapi menyatakan paket-paket tersebut aktif di npm, PyPI, dan Crates.io serta mengandung payload yang dapat mencuri data dompet, mengekstrak kredensial, menguji token AWS dan GitHub, serta meninggalkan file untuk menjaga akses tetap aktif.
Paket yang diprogram dalam JavaScript, Python, dan Rust disamarkan sebagai alat bantu pengembang, pemindai keamanan, alat dompet, utilitas Solidity, paket prompt AI, dan alat bantu build Sui atau Move.
Nama yang Membosankan Secara Desain
Nama-nama tersebut sengaja dibuat membosankan. Paket diberi nama "wallet-security-checker", "defi-risk-scanner", "solidity-build-guard", "move-compiler-tools", dan "llm-context-compressor", terlihat seperti utilitas kecil yang mungkin dipasang pengembang kripto atau AI tanpa banyak pertimbangan.
Namun, setelah dipasang, payload tersebut mencoba menarik jauh lebih banyak daripada sekadar data paket.
Dalam paket npm, malware mencari kunci pribadi, kata sandi, token GitHub, dan login cloud di mesin pengembang. Malware juga menguji beberapa kredensial yang dicuri, mencoba berpindah ke sistem lain melalui kunci SSH, dan meninggalkan file yang dapat menjaga infeksi tetap aktif.
Kunci SSH adalah file login yang digunakan pengembang untuk mengakses server, repositori kode, dan mesin lain. Jika dicuri, kunci ini dapat memungkinkan penyerang berpindah dari satu laptop yang dikompromikan ke infrastruktur perusahaan yang lebih luas.
Serangan ini juga menggunakan file seperti .cursorrules dan claude.md, yang memungkinkan pengembang memberikan instruksi khusus proyek kepada alat pengkodean AI. Socket mengatakan kampanye ini menanamkan instruksi tersembunyi menggunakan karakter Unicode lebar nol, yang tampaknya mencoba membuat sesi asisten AI di masa depan menjalankan "pemindaian keamanan" palsu yang mengumpulkan dan mengekstrak rahasia.
Hal ini mengubah serangan dari pencuri paket biasa menjadi sesuatu yang lebih mirip malware lingkungan pengembang. Instalasi paket hanyalah langkah pertama, dengan target sebenarnya adalah workstation, seperti dompet, repositori, data browser, kunci cloud, akses SSH, dan apa pun yang dibaca alat pengkodean AI selanjutnya.
Paket Rust menggunakan skrip build.rs berbahaya untuk dijalankan selama kompilasi, menargetkan pengembang sui dan move. Paket PyPI mengeksekusi JavaScript jarak jauh saat impor. Paket di npm menggunakan kait postinstall.
Socket menyatakan telah melaporkan paket-paket tersebut ke registri yang terpengaruh dan mengklasifikasikan paket kampanye sebagai berbahaya. Perusahaan juga memperingatkan bahwa penyerang membuka permintaan tarik (pull requests) ke proyek AI dan pengembang, mencoba menambahkan file .cursorrules dan CLAUDE.md melalui jalur kontribusi sumber terbuka yang normal.