Váš solární střídač může být trojský kůň. Útok TrapDoor už čistí konta i v Česku

Je pondělí, tři ráno. Programátor v jedné z českých distribučních firem dokončuje "nutný" update pro systém řízení zátěže v síti. Potřebuje drobnost – knihovnu pro validaci dat, kterou najde na npm. Jeden příkaz `npm install`, rychlý commit, push a jde spát. Netuší, že právě otevřel bránu peklu. Za čtrnáct dní přestanou v celém kraji fungovat chytré elektroměry a na monitoru ředitele se objeví vzkaz s žádostí o 500 bitcoinů.

Scénář z levného thrilleru? Kdepak. Realita supply chain útoků roku 2026. Aktuální kampaň s názvem TrapDoor ukazuje, že hackeři už neútočí na vaše firewally. Útočí na kód, kterému věříte.

Jed v základech moderního kódu

TrapDoor není jen další malware. Je to sofistikovaná operace, která zasáhla tři hlavní pilíře moderního vývoje: npm (JavaScript), PyPI (Python) a Crates.io (Rust). Útočníci do těchto repozitářů propašovali stovky balíčků, které vypadají jako užitečné nástroje pro logování, práci s časem nebo šifrování.

Finta je v tom, že kód vypadá čistě. Dokud ho nenainstalujete. V ten moment se spustí skript, který prohledá váš systém, vytáhne hesla z prohlížečů, SSH klíče a přístupy ke cloudovým instancím. Výsledek? Útočník má klíče od vašeho digitálního království dřív, než si dopijete ranní kafe.

Pro energetiku je to katastrofa. Moderní rozvodné sítě a platformy pro sdílení elektřiny, jako je třeba smartenergyshare.com, stojí na tisících řádků otevřeného kódu. Pokud se do tohoto ekosystému dostane "nakažená" knihovna, přestává být problémem jen ukradená kreditka. Ve hře je stabilita přenosové soustavy.

Proč po vás jdou přes Python a Rust

Zatímco dříve hackeři zkoušeli "typosquatting" (registrace balíčku `requesst` místo `requests`), TrapDoor jde dál. Využívá tzv. dependency confusion. Hackeři zjistí jména interních balíčků, které firmy používají, a nahrají do veřejných repozitářů verzi se stejným jménem, ale vyšším číslem verze. Váš build systém pak automaticky stáhne tu "novější" – a tedy útočníkovu – verzi.

V energetice je to kritické kvůli IoT. Chytré střídače, bateriová úložiště a EV nabíječky běží často na Pythonu nebo Rustu. Jsou to v podstatě malé počítače připojené k internetu. Pokud vývojář střídače použije kompromitovaný balíček z PyPI pro komunikaci s cloudem, útočník může ovládat tisíce zařízení najednou. Představte si, že někdo ve stejnou vteřinu vypne 50 000 střídačů. To už není jen výpadek, to je kolaps sítě.

NUKIB ve svých doporučeních pro kritickou infrastrukturu, která najdete na nukib.gov.cz, jasně varuje: Supply chain je nejslabším článkem řetězce. Nemůžete kontrolovat každý řádek kódu, který vaše systémy používají, ale musíte vědět, co tam máte.

Sedm znamení, že jste další na řadě

Business Email Compromise (BEC) je často finální fází útoku TrapDoor. Jakmile mají hackeři vaše přihlašovací údaje, nezačnou hned šifrovat disky. Sledují vaši komunikaci. Čekají na správnou fakturu. Tady je sedm varovných signálů, že vaše organizace už může být "rozpracovaná":

Náhlé změny v bankovních detailech dodavatelů poslané e-mailem.
Nestandardní požadavky na rychlé platby mimo schválené procesy.
Podezřelá aktivita v logách Microsoft 365 (přihlášení z neznámých lokalit).
Pravidla pro přeposílání e-mailů, která jste nenastavili.
Zaměstnanci hlásí, že se jim "samy" odhlašují aplikace.
Buildy vašich aplikací trvají podezřele dlouho (malware se může vkládat během kompilace).
Vaše servery začaly komunikovat s IP adresami v zemích, kde nemáte žádné zákazníky.

Pokud uvidíte víc než dva z těchto bodů, pravděpodobně už ve vaší síti někdo "bydlí".

Jak testovat obnovu z ransomware a nepodělat to

Když už k nejhoršímu dojde a ransomware zašifruje vaši infrastrukturu, většina firem udělá fatální chybu. Začnou bezhlavě obnovovat ze záloh do stejného prostředí. Jenže pokud byl útok veden přes TrapDoor, je malware pravděpodobně i v těch zálohách. Nebo je v síti stále aktivní backdoor, který se po obnově okamžitě spustí znovu.

Správná strategie? Musíte mít "čistý pokoj" (Clean Room). To je izolované prostředí, kde obnovu testujete.

Postupujte následovně: 1. Obnovte kritické systémy v totálně izolované síti (air-gapped). 2. Spusťte hloubkovou analýzu binárních souborů. Hledejte podezřelé volání `os.system()` nebo síťové requesty na podivné domény. 3. Prověřte integritu všech externích závislostí. Pokud vaše aplikace používá balíček `lib-secure-data`, porovnejte jeho hash s oficiální čistou verzí (pokud taková existuje). 4. Teprve po týdnu "čistého provozu" v izolaci můžete začít uvažovat o návratu do produkce.

Většina českých firem nemá na tohle lidi ani čas. Jenže v energetice čas neexistuje. Když vypadne proud, máte minuty, ne dny na analýzu.

Budoucnost: Decentralizace jako obrana?

Útoky na dodavatelský řetězec jsou daní za to, jak efektivně dnes stavíme software. Skládáme ho z kostek, které vyrobil někdo jiný. Cesta zpět k psaní všeho "na zelené louce" neexistuje. Musíme ale změnit přístup k důvěře.

Nástup technologií pro sdílení energie a komunitní energetiky přináší nové výzvy. Každý nový člen sítě je potenciální vstupní bod. Pokud má soused ve svém střídači malware, který se šíří po lokální síti, může ohrozit i vás. Proto je klíčové, aby platformy pro správu těchto toků byly postaveny na principu "Zero Trust". Nikomu nevěřit, všechno ověřovat.

Závěr je prostý a trochu krutý. Pokud si myslíte, že se vás TrapDoor netýká, protože nepíšete kód v Rustu, pletete se. Týká se vás to skrze váš software pro účetnictví, skrze firmware ve vaší chytré lednici nebo skrze řídicí systém vaší lokální trafačky.

Hackeři přestali bušit na dveře. Prostě si nechali poslat klíče poštou. A vy jste jim to poštovné ještě zaplatili v rámci "modernizace IT". Jedinou obranou je paranoia a neustálé prověřování všeho, co do své sítě pustíte. Protože ten "užitečný skript z internetu" může být tou poslední věcí, kterou ve své firmě spustíte.