Beveiligingsonderzoekers van SlowMist brengen een uitgebreid technisch rapport uit over TrapDoor, een gevaarlijke supply chain aanval die zich richt op ontwikkelaars in de crypto, DeFi en AI sector. De campagne verspreidt zich via meerdere ecosystemen tegelijk en steelt gevoelige inloggegevens via meer dan 34 kwaadaardige packages en 384 versies daarvan.
Solana is verkrijgbaar bij Bitvavo en Bybit.
Aanval treft npm, PyPI en Crates.io tegelijk
TrapDoor wordt op 24 mei voor het eerst onthuld door SocketSecurity. SlowMist pikt dit op en voert aanvullend onderzoek uit via zijn MistEye threat intelligence systeem, waarna het bedrijf een vroege waarschuwing uitgeeft. De aanval richt zich op drie grote package registries: npm, PyPI en Crates.io, en treft daarmee ontwikkelaars in een breed scala aan ecosystemen waaronder Solana, Sui/Move en AI.
Voor het rapport selecteert SlowMist drie representatieve voorbeelden. Op PyPI gaat het om het package git-config-sync, vermomd als een tool voor het synchroniseren van Git-instellingen. Op npm duikt token-usage-tracker op, dat doet alsof het tokengebruik bijhoudt. Via Crates.io circuleert sui-framework-helpers, gepresenteerd als een hulpbibliotheek voor Sui Move ontwikkeling. Al deze packages zien er op het eerste gezicht legitiem uit, maar bevatten kwaadaardige code.
Volledige aanvalsketen gereconstrueerd
SlowMist reconstrueert voor elk package de volledige aanvalsketen. De infectie begint via zogenoemde entry-point triggers zoals postinstall scripts, init.py en build.rs bestanden. Zodra een ontwikkelaar zo’n package installeert, begint de malware met het verzamelen van gevoelige data. Denk daarbij aan credentials, privésleutels en andere vertrouwelijke informatie die op het systeem staat.
De gestolen data wordt vervolgens versleuteld en verstuurd via meerdere kanalen, waaronder ddjidd564.github.io, GitHub Gists en webhook.site. Hiermee kunnen aanvallers op afstand controle uitoefenen over geïnfecteerde systemen. SlowMist zegt dat dit soort supply chain aanvallen bijzonder gevaarlijk zijn omdat ze binnenkomen via vertrouwde tools die dagelijks door honderden developers worden gebruikt. Wie als Solana of DeFi developer actief is, doet er verstandig aan de volledige technische analyse van SlowMist te lezen.
De medeoprichter van OpenZeppelin waarschuwde eerder al dat DeFi structureel onveilig is, en aanvallen als TrapDoor laten zien dat de dreiging ook buiten de protocollen zelf bestaat. Het volledige rapport van SlowMist is beschikbaar via Medium.
Ontvang tijdelijk 10 euro gratis Solana bij Bitvavo
Trouwe Blockchain Stories lezers ontvangen tijdelijk 10 euro aan Solana of een andere crypto van Bitvavo. Daarnaast mag je €10.000 commissievrij verhandelen binnen 7 dagen na je registratie.
Claim jouw SOL bonus via onderstaande knop en start bij Bitvavo met €10 gratis Solana (€10 storting voor verificatie is vereist). Bitvavo is de marktleider in Europa met meer dan 2 miljoen gebruikers en een MiCA licentie.
Alle voorwaarden voor de bonus vind je op de actiepagina.