Уязвимость цепочки поставок: Урок TrapDoor
Новая кампания под названием TrapDoor выявила критическую слабость в экосистеме блокчейн-разработки. Вместо атаки на смарт-контракты, хакеры нацелились на самих разработчиков, внедряя вредоносный код через пакеты npm, PyPI и Crates.io.
- Более 384 вредоносных версий пакетов.
- Кража SSH-ключей, токенов GitHub и облачных учетных данных.
- Манипуляция ИИ-ассистентами через скрытые Unicode-инструкции.
Атаки сместились с кода контрактов на инфраструктуру, которая этот код создает и развертывает, — отмечают эксперты по безопасности.
FAQ
Что такое TrapDoor?
Это кампания по внедрению вредоносного ПО в популярные репозитории пакетов для кражи учетных данных разработчиков.
Как защитить протокол?
Необходимо строго контролировать зависимости, регулярно ротировать ключи доступа и изолировать среды CI/CD.
