Критическая угроза безопасности в цепочке поставок
Лаборатория кибербезопасности SlowMist выпустила экстренное предупреждение о критической угрозе безопасности (SM-2026-352284). По данным официального заявления, обнаружена активная атака на цепочку поставок, охватывающая несколько крупных репозиториев и нацеленная на разработчиков Web3 и AI продуктов.
Злоумышленники внедрили более 34 вредоносных пакетов и 384 связанные версии в популярные репозитории npm, PyPI и Crates.io, специально нацеливаясь на разработчиков в экосистемах Solana, DeFi и AI.
Изменение тактики атак и рекордные потери
Этот инцидент происходит на фоне рекордных потерь в секторе DeFi. В апреле сектор потерял $635 млн в результате 28 взломов. Хотя в мае количество прямых атак на смарт-контракты снизилось, анализ SlowMist показывает принципиальное изменение тактики злоумышленников.
Вместо атак на защищенные серверы они переходят к скрытной компрометации персональных устройств разработчиков.
Вредонос TrapDoor и механизм заражения
Вредонос TrapDoor предназначен для полной компрометации рабочих станций. Он крадет крипто-кошельки, облачные токены (AWS, GitHub учетные данные) и ключи доступа, отправляя их на адреса, контролируемые злоумышленниками. По механизму действия вирус похож на известный npm червь Mini Shai-Hulud.
Для сохранения скрытого присутствия в системе вредонос записывает себя в файлы конфигурации AI ассистентов (.cursorrules, CLAUDE.md), Git hooks и скрипты автоматизации. В репозиториях программное обеспечение маскируется под AI плагины и утилиты сборки для Solana, Sui и Move.
Риск автоматизированного заражения через AI
Проблема усугубляется растущей тенденцией использования AI для генерации кода, когда разработчики собирают проекты через промпты и подключают множество вложенных библиотек без тщательной проверки. AI агенты автоматически загружают вредоносный код на машины, где интеллектуальные редакторы имеют прямой доступ к локальным файлам конфигурации.
Рекомендации по защите
SlowMist рекомендует немедленно удалить затронутые пакеты, изолировать инфицированные системы, сохранить логи и запустить трехэтапный протокол восстановления.
