Stačí jeden příkaz v terminálu a vaše solární elektrárna patří cizím hackerům

Představte si tuhle situaci. Jste vývojář v energetické firmě, piješ ranní kafe a potřebuješ narychlo vyřešit posílání dat z nových solárních střídačů do cloudu. Hodíš do Googlu název protokolu, najdeš šikovnou knihovnu na npm nebo PyPI, napíšeš `npm install` nebo `pip install` a jdeš na oběd. V tu chvíli jsi právě otevřel zadní vrátka do celého podniku. Nejen k heslům na Slack, ale k řízení sítě, ke kritickým systémům a k datům o spotřebě tisíců lidí.

Vítejte v realitě roku 2026. Útoky na dodavatelský řetězec (supply chain attacks) už nejsou jen námětem pro špionážní thrillery. Jsou tady a jmenují se TrapDoor.

TrapDoor: Když vám vlastní nástroje vrazí kudlu do zad

Bezpečnostní experti právě teď bijí na poplach. Kampaň s kódovým označením TrapDoor se šíří jako digitální mor napříč nejpoužívanějšími repozitáři světa – npm (JavaScript), PyPI (Python) a Crates.io (Rust). Nejde o žádný amatérský pokus. Útočníci do těchto ekosystémů napumpovali stovky balíčků, které vypadají naprosto legitimně.

Taktika je prostá a geniální zároveň: typosquatting. Stačí překlep. Místo `request-auth` si stáhnete `requests-auth-plus`. Balíček dělá přesně to, co slibuje, takže si ničeho nevšimnete. Jenže na pozadí, v momentě instalace, spustí skript, který prohledá váš počítač. Hledá soubory `.env`, klíče k SSH, tokeny ke cloudu a přihlašovací údaje do prohlížeče.

Nejzajímavější na TrapDoor je jeho vytrvalost. Malware se neaktivuje hned. Čeká. Sleduje, jestli nejste v sandboxu nebo ve virtuálním stroji analytika. Jakmile zjistí, že běžíte na stroji v korporátní síti – ideálně s přístupem k produkčním serverům – "vytočí" domů a pošle balík dat na command-and-control server. Pro energetiku, kde se dnes všechno řídí přes Python skripty a Node.js dashboardy, je to naprostý rozsudek smrti.

Ghost CMS jako vstupenka do první ligy

Aby toho nebylo málo, útočníci využili čerstvou zranitelnost CVE-2026-26980 v Ghost CMS. Ghost je populární publikační platforma, kterou používá spousta tech firem pro své blogy a dokumentaci. Hackeři dokázali ovládnout přes 700 webů a proměnili je v distribuční centra pro útoky typu ClickFix.

Vypadá to takhle: přijdete na oblíbený technologický blog, chcete si přečíst o novinkách v AI, ale místo textu na vás vyskočí okno: "Váš prohlížeč vyžaduje aktualizaci pro správné zobrazení obsahu." Kliknete. V tu ránu máte v systému loader, který do vás napere TrapDoor nebo jiný svinec.

Tohle není jen problém "hloupých uživatelů". ClickFix útočí na psychologii. Okna vypadají jako systémové hlášky Windows nebo macOS. Jsou designově dokonalá. Pokud tohle trefí administrátora, který má otevřenou VPN do řídicího centra elektrárny, máme zaděláno na blackout.

Energetika pod palbou: Proč jdou po nás?

Proč se o tom bavíme v kontextu energetiky? Protože energetika je dnes v podstatě jen obří IT infrastruktura s dráty. Moderní systémy pro sdílení elektřiny, jako je třeba česká platforma SmartEnergyShare, sice posouvají efektivitu sítě na novou úroveň, ale zároveň vytvářejí obrovské množství koncových bodů, které je potřeba chránit.

Hackeři vědí, že dostat se přímo do ČEPSu nebo do velkého distribátora je těžké. Ale dostat se k subdodavateli, který píše kód pro monitorování solárních parků? To je jako projít otevřenými dveřmi. Stačí jeden kompromitovaný balíček v Pythonu, který používá firma spravující FVE střídače, a útočník může začít posílat falešné příkazy k odpojování zdrojů.

Vzpomeňte si na útok na ukrajinskou síť nebo na Colonial Pipeline v USA. TrapDoor je jen modernější, rafinovanější verze téhož. Cílem není jen krást peníze, ale získat kontrolu. V momentě, kdy útočník drží vaše SSH klíče, už nepotřebuje žádný exploit. Má prostě heslo a klíče od vchodu.

Co na to úřady a co na to komunita?

NUKIB (Národní úřad pro kybernetickou a informační bezpečnost) už delší dobu varuje, že zabezpečení dodavatelského řetězce je kritickou prioritou. Jejich doporučení (která najdete na nukib.gov.cz) mluví jasně: nespoléhejte na to, že co je na internetu, to je bezpečné.

npm na situaci reaguje zaváděním povinného 2FA (dvoufázového ověření) pro publikování balíčků a novými nástroji pro kontrolu instalací. Jenže to je jako lepit náplast na tepenné krvácení. Dokud budou vývojáři nekontrolovaně stahovat tisíce závislostí, o kterých nic neví, TrapDoor bude slavit úspěch.

Pro firmy v kritické infrastruktuře to znamená jediné: Air-gap (pokud to jde), nebo extrémně přísné prověřování kódu. Žádné `npm install` přímo na serveru. Všechno musí jít přes lokální proxy, která skenuje malware, a každá nová verze knihovny musí projít auditem. Ano, zdržuje to. Ano, stojí to peníze. Ale pořád je to levnější než platit výkupné v bitcoinech nebo vysvětlovat lidem, proč jim nejde elektřina, protože někdo "vytáhl pojistky" přes internet.

Technický detail: Jak TrapDoor luxuje data

Pro ty, co chtějí vědět, co se děje pod kapotou: TrapDoor využívá tzv. "preinstall scripts". V souboru `package.json` v npm nebo v `setup.py` u Pythonu můžete definovat příkazy, které se spustí hned po stažení.

Většinou se to používá ke kompilaci nativních doplňků. TrapDoor tam ale schovává base64 zakódovaný řetězec, který po dekódování spustí PowerShell nebo Bash skript. Tenhle skript udělá "inventory scan". Proleze adresáře jako `.aws`, `.azure`, `.ssh`, vykrade cookies z Chromu a Firefoxu (protože tam jsou uloženy přihlašovací session k AWS konzoli nebo k Azure portálu) a všechno to zabalí do šifrovaného HTTPS POST požadavku.

Výsledek? Útočník má během deseti sekund vaše identity. Může se přihlásit do vašeho cloudu, vytvořit si tam nové admin účty a vy o tom nebudete vědět týdny. Mezitím může v klidu studovat, jak funguje vaše řízení FVE a kde je nejzranitelnější místo.

Jak z toho ven a nezbláznit se?

Obrana existuje, ale vyžaduje změnu myšlení. Jako bezpečnostní expert doporučuji tři základní kroky:

Pinning a lockfiles: Nikdy nepoužívejte "nejnovější" verzi balíčku (`^1.0.0`). Fixujte verze na konkrétní hash. Pokud se verze v repozitáři změní bez vašeho vědomí, build musí selhat.
SCA nástroje: Používejte Software Composition Analysis. Nástroje jako Snyk nebo GitHub Dependabot nejsou dokonalé, ale TrapDoor a podobné kampaně dokážou odhalit celkem rychle.
Zero Trust i v kódu: Přestaňte brát open-source jako charitu, které se věří. Je to kód od cizích lidí. Pokud vyvíjíte software pro energetiku, musíte vědět, co každá řádka kódu dělá.

Předpověď pro rok 2026: Bude hůř

TrapDoor není konec, je to začátek. S rozvojem AI se útoky na dodavatelský řetězec stanou ještě sofistikovanějšími. Útočníci budou používat AI k vytváření tisíců variací škodlivých balíčků, které budou vypadat jako oprava chyb v populárních knihovnách. Budou psát perfektní dokumentaci a budovat si falešnou reputaci na GitHubu.

Bitva o energetickou bezpečnost se už neodehrává u plotů elektráren. Odehrává se v terminálech vývojářů. Pokud tam prohrajeme, nepomohou nám ani ty nejlepší solární panely na světě. Budou totiž vyrábět elektřinu pro někoho jiného.

Takže až příště napíšete `install`, na vteřinu se zastavte. Opravdu víte, co si do toho počítače pouštíte? Protože hackeři na vaši chybu čekají. A mají trpělivost, kterou si my v našem zrychleném světě neumíme ani představit.