Исследователи безопасности обнаружили масштабную кампанию вредоносного ПО TrapDoor, нацеленную на разработчиков криптовалютных проектов. Злоумышленники разместили вредоносные пакеты в трёх крупнейших репозиториях с открытым кодом: npm (JavaScript), PyPI (Python) и Crates.io (Rust). Под удар попали экосистемы Aptos, Sui и Solana — блокчейны первого уровня, использующие язык Move и Rust.
Что предшествовало
В начале 2025 года участились случаи внедрения вредоносного кода в цепочки поставок ПО (supply chain attacks). В январе 2025 года атака на репозиторий PyPI затронула более 10 000 разработчиков через поддельные библиотеки для работы с криптовалютами. В феврале 2025 года похожая кампания была зафиксирована в npm — злоумышленники маскировали вредоносные пакеты под популярные инструменты для разработки смарт-контрактов. TrapDoor отличается от предыдущих атак тем, что одновременно использует три репозитория и нацелен на конкретные блокчейн-экосистемы. Подробнее — майнеры в наличии.
Ключевое событие
Кампания TrapDoor была впервые описана исследователями из компании The Block 12 марта 2025 года. Вредоносные пакеты имитировали легитимные библиотеки для разработки на Move (Aptos, Sui) и Rust (Solana). После установки пакет загружал дополнительный шелл-код, который обеспечивал удалённый доступ к системе жертвы. По данным исследователей, TrapDoor способен красть закрытые ключи кошельков, переменные окружения и файлы конфигурации нод. На момент публикации обнаружено не менее 15 вредоносных пакетов, из которых 8 были активны в npm, 5 в PyPI и 2 в Crates.io.
Что произошло потом
После публикации отчёта администраторы репозиториев npm, PyPI и Crates.io удалили большинство вредоносных пакетов. Однако исследователи предупреждают, что злоумышленники могут повторно загрузить их под другими именами. Разработчикам рекомендуется проверять хеши пакетов и использовать инструменты анализа зависимостей, такие как Snyk или Dependabot. Для российских разработчиков, работающих с блокчейнами Aptos, Sui и Solana, ситуация усугубляется тем, что многие используют публичные репозитории без дополнительной верификации. По нашим наблюдениям, в русскоязычном сегменте доля разработчиков, применяющих автоматическую проверку зависимостей, не превышает 30%.
Открытые вопросы
Остаётся неясным, кто стоит за кампанией TrapDoor и каков её конечный масштаб. Исследователи не исключают, что часть вредоносных пакетов могла быть загружена через скомпрометированные аккаунты мейнтейнеров. Кроме того, не опубликована полная статистика по количеству заражённых систем. Для российских майнеров и разработчиков, использующих хостинг в Сибири или аренду мощностей у промышленных площадок (например, в Иркутской области), риск дополнительно возрастает из-за частого отсутствия обновлений безопасности на удалённых серверах. В условиях, когда майнинг в РФ легализован через реестр ФНС, а налог на прибыль для юрлиц составляет 25%, компрометация ключей может привести к прямым финансовым потерям.
Комментарии
0