सुरक्षा शोधकर्ताओं ने पाया कि TrapDoor नामक एक दुर्भावनापूर्ण सॉफ्टवेयर अभियान कई ओपन सोर्स सॉफ्टवेयर रिपॉजिटरी में फैल रहा है, जिसमें क्रिप्टो और ब्लॉकचेन डेवलपर्स द्वारा उपयोग किए जाने वाले निर्भरता पारिस्थितिकी शामिल हैं। हमलावरों का लक्ष्य स्थानीय फ़ाइलों तक सीमित नहीं है, बल्कि वॉलेट कुंजियाँ, क्लाउड सेवा प्रमाणीकरण, कोड रिपॉजिटरी एक्सेस टोकन जैसे उच्च मूल्यवान डेटा भी हैं।
तीन ओपन सोर्स रिपॉजिटरी में एक साथ दुर्भावनापूर्ण पैकेज देखे गए
इस अभियान ने npm, PyPI और Crates.io जैसे तीन प्रमुख सॉफ्टवेयर पैकेज इकोसिस्टम को कवर किया। शोधकर्ताओं के अनुसार, 30 से अधिक दुर्भावनापूर्ण पैकेज और संबंधित प्रभावित संस्करणों की संख्या 300 से अधिक पहचानी गई है, जो कि एक छोटे समय अंतराल में समूहबद्ध रूप से दिखाई दिए।
रिपोर्ट के अनुसार, इस अभियान की शुरुआत लगभग 22 मई के आसपास हुई। इसी बीच, 20 मई को GitHub ने अपने आंतरिक कोड रिपॉजिटरी में अनधिकृत पहुंच की घोषणा की। उपलब्ध जानकारी के अनुसार, ये दुर्भावनापूर्ण पैकेज अलग-अलग अपलोड नहीं, बल्कि कई खातों द्वारा धीरे-धीरे अपलोड किए गए, ताकि प्रारंभिक चरण में उनकी पहचान की संभावना कम हो।
इंस्टॉल और कंपाइल चरण में ही ट्रिगर हो सकता है
TrapDoor का प्रसार विकासकों द्वारा दैनिक रूप से उपयोग किए जाने वाले इंस्टॉल और बिल्ड प्रक्रियाओं पर निर्भर करता है। JavaScript पैकेज डिपेंडेंसी इंस्टॉल के बाद post-install स्क्रिप्ट के माध्यम से स्वचालित रूप से चलाए जा सकते हैं; Python पैकेज इम्पोर्ट चरण के दौरान ट्रिगर हो सकते हैं; Rust पैकेज बिल्ड स्क्रिप्ट के माध्यम से कंपाइल समय पर निष्पादित किए जा सकते हैं।
मैलिशियस कोड चलने के बाद, यह स्थानीय सिस्टम में संवेदनशील जानकारी का स्कैन करता है, जिसमें SSH कुंजियाँ, API टोकन, वातावरण चर और सामान्य कॉन्फ़िगरेशन फ़ाइलें शामिल हैं। कुछ नमूने ब्राउज़र में सहेजी गई प्रमाणीकरण जानकारी को भी पढ़ते हैं और चोरी की गई डेटा को हमलावर द्वारा नियंत्रित बाहरी सर्वर पर भेजते हैं।
शोधकर्ताओं ने यह भी उल्लेख किया कि व्यक्तिगत नमूने बूट प्रक्रिया को संशोधित करने या विकास उपकरणों में दुर्भावनापूर्ण हुक डालने का प्रयास करते हैं, ताकि भविष्य के पहुंच को बनाए रखा जा सके।
Wallet, AWS, and GitHub are primary targets
लक्ष्य चयन के आधार पर, यह हमला स्पष्ट रूप से क्रिप्टो विकास परिदृश्य को निशाना बनाता है। दुर्भावनापूर्ण सॉफ्टवेयर क्रिप्टो वॉलेट से संबंधित डेटा एकत्र करता है और AWS पासवर्ड तथा GitHub एक्सेस टोकन प्राप्त करने का प्रयास करता है। यदि ऐसी जानकारी लीक हो जाए, तो हमलावर निजी कोड रिपॉजिटरी, डिप्लॉयमेंट प्रक्रियाओं और बैकएंड सिस्टम तक आगे पहुँच सकता है।
क्लाउड और कोड अधिकारों के अलावा, SSH कुंजियाँ भी महत्वपूर्ण लक्ष्य हैं। यदि संबंधित कुंजियाँ चोरी हो जाती हैं, तो हमलावर विकासक के उपकरणों तक पहुँच सकते हैं और उत्पादन सर्वर्स से भी जुड़ सकते हैं। क्रिप्टो प्रोजेक्ट के लिए, इसका अर्थ है कि जोखिम केवल व्यक्तिगत टर्मिनल तक सीमित नहीं रहता, बल्कि बुनियादी ढांचे और प्रकाशन श्रृंखला तक फैल सकता है।
AI कोडिंग टूल को भी हमले की श्रृंखला में शामिल किया गया है
इस अभियान की एक अन्य विशेषता AI सहायता वाले विकास वातावरण का उपयोग शुरू करना है। कुछ दुर्भावनापूर्ण पैकेज में .cursorrules, CLAUDE.md आदि कॉन्फ़िगरेशन फ़ाइलें शामिल हैं, जो AI कोडिंग सहायक को प्रोजेक्ट निर्देशों को समझने और निष्पादित करने में प्रभावित करने का इरादा रखती हैं।
रिपोर्ट के अनुसार, हमलावर केवल पारंपरिक दुर्भावनापूर्ण कोड निष्पादन पर ही निर्भर नहीं थे, बल्कि AI उपकरणों के कार्यप्रवाह का उपयोग करके संवेदनशील जानकारी को प्रकट करने या अनुचित कार्रवाई करने का प्रयास भी किया। इससे पता चलता है कि सप्लाई चेन हमले कोड स्तर से आगे बढ़कर विकासकों द्वारा उपयोग किए जाने वाले स्वचालित टूलचेन तक फैल रहे हैं।