Gevaarlijke malware richt zich op Solana en DeFi ontwikkelaars
Beveiligingsonderzoekers van SlowMist brengen een uitgebreid technisch rapport uit over TrapDoor, een gevaarlijke supply chain aanval die zich richt op ontwikkelaars in de crypto, DeFi en AI sector. De campagne verspreidt zich via meerdere ecosystemen tegelijk en steelt gevoelige inloggegevens via meer dan 34 kwaadaardige packages en 384 versies daarvan.
Solana is verkrijgbaar bij Bitvavo en Bybit.
Aanval treft npm, PyPI en Crates.io tegelijk
TrapDoor wordt op 24 mei voor het eerst onthuld door SocketSecurity. SlowMist pikt dit op en voert aanvullend onderzoek uit via zijn MistEye threat intelligence systeem, waarna het bedrijf een vroege waarschuwing uitgeeft. De aanval richt zich op drie grote package registries: npm, PyPI en Crates.io, en treft daarmee ontwikkelaars in een breed scala aan ecosystemen waaronder Solana, Sui/Move en AI.
Voor het rapport selecteert SlowMist drie representatieve voorbeelden. Op PyPI gaat het om het package git-config-sync, vermomd als een tool voor het synchroniseren van Git-instellingen. Op npm duikt token-usage-tracker op, dat doet alsof het tokengebruik bijhoudt. Via Crates.io circuleert sui-framework-helpers, gepresenteerd als een hulpbibliotheek voor Sui Move ontwikkeling. Al deze packages zien er op het eerste gezicht legitiem uit, maar bevatten kwaadaardige code.
Volledige aanvalsketen gereconstrueerd
SlowMist reconstrueert voor elk package de volledige aanvalsketen. De infectie begint via zogenoemde entry-point triggers zoals postinstall scripts, init.py en build.rs bestanden. Zodra een ontwikkelaar zo’n package installeert, begint de malware met het verzamelen van gevoelige data. Denk daarbij aan credentials, privésleutels en andere vertrouwelijke informatie die op het systeem staat.
De gestolen data wordt vervolgens versleuteld en verstuurd via meerdere kanalen, waaronder ddjidd564.github.io, GitHub Gists en webhook.site. Hiermee kunnen aanvallers op afstand controle uitoefenen over geïnfecteerde systemen. SlowMist zegt dat dit soort supply chain aanvallen bijzonder gevaarlijk zijn omdat ze binnenkomen via vertrouwde tools die dagelijks door honderden developers worden gebruikt. Wie als Solana of DeFi developer actief is, doet er verstandig aan de volledige technische analyse van SlowMist te lezen.
✍️We have released an in-depth technical analysis report on the #TrapDoor cross-ecosystem supply chain credential theft campaign. TrapDoor was first disclosed by the @SocketSecurity on May 24. Subsequently, we conducted continuous threat hunting through our MistEye threat… https://t.co/dh3vGfuux2
De medeoprichter van OpenZeppelin waarschuwde eerder al dat DeFi structureel onveilig is, en aanvallen als TrapDoor laten zien dat de dreiging ook buiten de protocollen zelf bestaat. Het volledige rapport van SlowMist is beschikbaar via Medium.
Geen financieel advies. Blockchain Stories biedt uitsluitend educatieve en informatieve content. Crypto assets zijn zeer volatiel en je kunt je volledige inleg verliezen. Doe altijd je eigen onderzoek. Lees onze volledige disclaimer.
Affiliate vermelding. Sommige links op deze site zijn partner/affiliate links. Als je je via zo'n link aanmeldt bij een partner, ontvangen wij mogelijk een commissie, zonder extra kosten voor jou. Dit beïnvloedt nooit onze berichtgeving. Lees onze redactionele richtlijnen.
Meer Solana Nieuws
Meer nieuws ›
