Natuklasan ng mga researcher sa seguridad na isang malwares na kampanya na tinatawag na TrapDoor ay nagpapalaganap sa mga open-source software repository, na nakaaapekto sa mga dependency ecosystem na ginagamit ng mga developer sa cryptocurrency at blockchain. Ang layunin ng mga attacker ay hindi lamang ang lokal na files kundi pati na rin ang mga wallet key, cloud service credentials, at code repository access tokens na may mataas na halaga.
Tatlong open-source repositories ang nagkakaroon ng malicious package nang sabay-sabay
Ang operasyong ito ay sumasakop sa tatlong pangunahing ecosystem ng package: npm, PyPI, at Crates.io. Ayon sa mga siyentipiko, natukoy ang higit sa 30 na masasamang package, na may higit sa 300 na nakakaapektong bersyon, at nagkakaroon ng malaking pagkakasunod-sunod sa maikling panahon.
Ang ulat ay nagmumungkahi na ang kampanyang ito ay nagsimulang umabot sa kanyang puncyo noong mga 22 ng Mayo. Samantala, ang GitHub ay nagpahayag noong 20 ng Mayo tungkol sa hindi awtorisadong pag-access sa kanilang loob na repository. Ang mga umiiral na impormasyon ay nagpapakita na ang mga masamang pakete ay hindi ikinarga nang magkahihiwalay, kundi inilabas ng maraming account sa mga grupo upang bawasan ang posibilidad na ma-detekta sa maagang yugto.
Maaaring makapag-trigger sa pag-install at compilation phase
Ang paraan ng pagkalat ng TrapDoor ay nakasalalay sa mga proseso ng pag-install at pag-build na ginagamit ng mga developer araw-araw. Ang mga JavaScript package ay maaaring mag-run nang awtomatiko pagkatapos ng pag-install sa pamamagitan ng post-install script; ang mga Python package ay maaaring mag-trigger sa panahon ng import; at ang mga Rust package ay maaaring mag-execute sa panahon ng compilation gamit ang build scripts.
Pagkatapos mag-run ng masamang code, ito ay sasayangin ang sensitibong impormasyon sa lokal na sistema, kabilang ang SSH keys, API tokens, environment variables, at karaniwang configuration files. Ang ilang mga sample ay maaari ring basahin ang mga authentication info na naka-save sa browser, at ipapadala ang nakuha mong data sa external server na kontrolado ng attacker.
Binanggit din ng mga mananaliksik na subukan ng ilang mga sample na baguhin ang proseso ng pag-start o mag-insert ng masasamang hook sa mga tool para sa pag-unlad upang mapanatili ang kakayahang makapag-access muli.
Ang wallet, AWS, at GitHub ay naging mga pangunahing layunin
Batay sa layunin, ang serye ng pag-atake na ito ay malinaw na nakatuon sa mga escenario ng cryptocurrency development. Ang malware ay maglalapit ng mga data kaugnay ng cryptocurrency wallet, habang sinusubukang makakuha ng AWS credentials at GitHub access tokens. Kung maabot ng mga attacker ang mga impormasyong ito, maaari silang makapag-access sa mga private code repository, deployment process, at backend systems.
Bukod sa cloud at mga pahintulot sa code, ang SSH keys ay isa rin sa mga pangunahing layunin. Kung mawawala ang mga kaugnay na key, maaaring gamitin ng mga hacker ang mga ito upang makapasok sa mga device ng developer, kahit na magkonekta sa production servers. Para sa mga cryptocurrency project, ang ibig sabihin nito ay ang panganib ay hindi lamang nakakapag-iiwan sa mga personal na terminal, kundi maaari ring magkalat sa infrastraktura at release pipeline.
Ang mga tool para sa AI coding ay kinabibilangan din sa chuweb ng pag-atake
Ang isa pang katangian ng aksyong ito ay ang paggamit ng AI-assisted development environment. Ang ilang masasamang package ay naglalaman ng mga configuration file tulad ng .cursorrules at CLAUDE.md, na layunin na影响 ang pag-unawa at pagpapatupad ng AI coding assistant sa mga utos ng proyekto.
Ipinakita ng ulat na hindi lamang nag-iisa ang mga attacker sa tradisyonal na pagpapatakbo ng masamang code, kundi sinubukan ring gamitin ang mga workflow ng AI upang gabayan ang pagpapakita ng sensitibong impormasyon o pagpapatakbo ng hindi angkop na aksyon. Ito ay nagpapakita na ang mga pag-atake sa supply chain ay patuloy na lumalawak mula sa antas ng code patungo sa mga automated na tool chain na ginagamit ng mga developer.