एक नया क्रिप्टो चोरी अभियान उन डेवलपर्स को टारगेट कर रहा है जिनके मशीन पर वॉलेट की, क्लाउड क्रेडेंशियल और प्रोडक्शन एक्सेस होने की संभावना सबसे अधिक है।
सुरक्षा कंपनी सॉकेट के शोधकर्ताओं ने इस हफ्ते शुरू में कहा कि उन्होंने तीन प्रमुख ओपन-सोर्स प्रोग्रामिंग रजिस्ट्रीज़ में फैली TrapDoor नामक एक सप्लाई-चेन हमले की पहचान की है, जिसमें 34 से अधिक दुर्भावनापूर्ण पैकेज और सैकड़ों संबंधित संस्करण और कलाकृतियाँ शामिल हैं।
एक मुख्य बात यह है कि हमलावर अधिक केंद्रित हो रहे हैं। सामाजिक इंजीनियरिंग के अलावा, जो महत्वपूर्ण जानकारी रखने वाले व्यक्तियों को लक्षित करती है, सप्लाई-चेन हमले यादृच्छिक खुदरा उपयोगकर्ताओं को पकड़ने के लिए नहीं, बल्कि डेवलपर्स के लिए बनाए जाते हैं। ये वही लोग हैं जिनके पास उसी मशीन पर वॉलेट फ़ाइलें, SSH कुंजियाँ, GitHub टोकन, क्लाउड प्रमाणीकरण और उत्पादन तक पहुँच हो सकती है, जिस पर वे क्रिप्टो और AI टूल बनाते हैं।
Socket ने पीड़ितों या चोरी हुए फंड्स की पहचान नहीं की, लेकिन कहा कि पैकेज npm, PyPI और Crates.io पर लाइव थे और इनमें ऐसे पेलोड शामिल थे जो वॉलेट डेटा चुरा सकते थे, क्रेडेंशियल्स को बाहर निकाल सकते थे, AWS और GitHub टोकन्स की जांच कर सकते थे और एक्सेस को सक्रिय रखने के लिए फाइलें छोड़ सकते थे।
जावास्क्रिप्ट, पायथन और रस्ट में प्रोग्राम किए गए पैकेज को डेवलपर हेल्पर, सुरक्षा स्कैनर, वॉलेट टूल, सॉलिडिटी यूटिलिटी, एआई प्रॉम्प्ट पैकेज और सुई या मूव बिल्ड हेल्पर के रूप में छुपाया गया था।
नामों को जानबूझकर बoring रखा गया था। पैकेज के नाम "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard," "move-compiler-tools" और "llm-context-compressor" रखे गए थे, जो ऐसी छोटी उपयोगिताओं के जैसे दिखते थे जिन्हें क्रिप्टो या AI डेवलपर बिना अधिक सोचे स्थापित कर सकते हैं।
हालांकि, स्थापित होने के बाद, पेलोड ने पैकेज डेटा से कहीं अधिक डेटा खींचने की कोशिश की।
npm पैकेज में, मैलवेयर ने डेवलपर के मशीन पर प्राइवेट की, पासवर्ड, गिटहब टोकन और क्लाउड लॉगिन की तलाश की। इसने कुछ चोरी की गई पार्थक्रियाओं की जांच भी की, SSH कुंजियों के माध्यम से अन्य सिस्टम में जाने की कोशिश की और ऐसी फाइलें छोड़ दीं जो संक्रमण को सक्रिय रख सकती हैं।
SSH कुंजियाँ लॉगिन फाइलें होती हैं जिनका विकासक बर्कर, कोड भंडार और अन्य मशीनों तक पहुँचने के लिए उपयोग करते हैं। यदि चोरी हो जाएँ, तो वे हमलावर को एक संक्रमित लैपटॉप से कंपनी के व्यापक अवसंरचना में जाने की अनुमति दे सकती हैं।
हमला इसके अलावा .cursorrules और claude.md जैसी फाइलों का भी उपयोग करता है, जो डेवलपर्स को एआई कोडिंग टूल्स को प्रोजेक्ट-विशिष्ट निर्देश देने की अनुमति देती हैं। सॉकेट ने कहा कि अभियान ने जीरो-विड्थ यूनिकोड वर्णों का उपयोग करके छिपे हुए निर्देश रखे, जो स्पष्ट रूप से भविष्य के एआई सहायक सत्रों को झूठे "सुरक्षा स्कैन" चलाने की कोशिश कर रहे हैं, जो रहस्यों को एकत्रित और बाहर निकालते हैं।
इससे हमला एक सामान्य पैकेज स्टीलर से डेवलपर-पर्यावरण मैलवेयर के करीब हो गया। पैकेज इंस्टॉल केवल पहला कदम है, जिसका वास्तविक लक्ष्य कार्यस्थल है, जैसे वॉलेट, रिपो, ब्राउज़र डेटा, क्लाउड कुंजियाँ, SSH एक्सेस और अगले किसी भी AI कोडिंग टूल्स जो पढ़ते हैं।
रस्ट पैकेजेस द्वारा संकलन के दौरान दुर्भावनापूर्ण build.rs स्क्रिप्ट्स का उपयोग किया गया, जिसमें sui और move डेवलपर्स को लक्षित किया गया। PyPI पैकेजेस आयात पर रिमोट JavaScript निष्पादित करते थे। npm पर पैकेजेस ने postinstall हुक्स का उपयोग किया।
सॉकेट ने कहा कि उसने प्रभावित रजिस्ट्रीज़ को पैकेजेस की रिपोर्ट की है और अभियान पैकेजेस को दुर्भावनापूर्ण के रूप में वर्गीकृत किया है। कंपनी ने यह भी चेतावनी दी कि हमलावर ने AI और डेवलपर प्रोजेक्ट्स के लिए पुल रिक्वेस्ट खोले, जिसमें सामान्य ओपन-सोर्स योगदान मार्गों के माध्यम से .cursorrules और CLAUDE.md फ़ाइलें जोड़ने की कोशिश की गई।