Peneliti keamanan menemukan bahwa kampanye perangkat lunak jahat bernama TrapDoor sedang menyebar di beberapa repositori perangkat lunak sumber terbuka, memengaruhi ekosistem dependensi yang sering digunakan oleh pengembang kripto dan blockchain. Target serangan tidak hanya berupa file lokal, tetapi juga kunci dompet, kredensial layanan cloud, dan token akses repositori kode—data bernilai tinggi lainnya.
Tiga repositori open source muncul secara bersamaan dengan paket berbahaya
Operasi ini mencakup tiga ekosistem paket utama: npm, PyPI, dan Crates.io. Para peneliti menyatakan telah mengidentifikasi lebih dari 30 paket jahat, dengan lebih dari 300 versi yang terdampak, yang muncul secara terkonsentrasi dalam waktu singkat.
Laporan menyebutkan, kampanye ini sekitar mulai meningkat pada sekitar 22 Mei. Sementara itu, GitHub pernah mengumumkan pada 20 Mei bahwa terjadi akses tidak sah ke repositori kode internal. Informasi yang ada menunjukkan bahwa paket-paket jahat ini bukan diunggah secara terpisah, tetapi dilepaskan secara bertahap oleh beberapa akun untuk mengurangi kemungkinan terdeteksi lebih awal.
Triggered during installation and compilation phase
Cara penyebaran TrapDoor bergantung pada alur instalasi dan build yang digunakan pengembang sehari-hari. Paket JavaScript dapat menjalankan skrip post-install secara otomatis setelah dependensi diinstal; paket Python dapat memicu eksekusi selama tahap impor; paket Rust dapat menjalankan skrip build saat kompilasi.
Setelah kode berbahaya dijalankan, ia akan memindai informasi sensitif di sistem lokal, termasuk kunci SSH, token API, variabel lingkungan, dan file konfigurasi umum. Beberapa sampel juga akan membaca informasi otentikasi yang disimpan di browser, lalu mengirim data yang dicuri ke server eksternal yang dikendalikan oleh penyerang.
Para peneliti juga menyebutkan bahwa beberapa sampel mencoba memodifikasi proses booting atau menyisipkan hook jahat ke alat pengembangan untuk mempertahankan kemampuan akses berkelanjutan.
Dompet, AWS, dan GitHub menjadi target utama
Dari tujuan serangan ini, jelas bahwa serangan ini menargetkan lingkungan pengembangan kripto. Perangkat lunak berbahaya akan mengumpulkan data terkait dompet kripto, sekaligus berusaha mendapatkan kredensial AWS dan token akses GitHub. Jika informasi ini bocor, penyerang dapat lebih lanjut mengakses repositori kode pribadi, proses penyebaran, dan sistem backend.
Selain akses cloud dan kode, kunci SSH juga menjadi target utama. Jika kunci terkait dicuri, penyerang dapat menggunakannya untuk masuk ke perangkat pengembang, bahkan terhubung ke server produksi. Bagi proyek kripto, ini berarti risiko tidak hanya terbatas pada perangkat pribadi, tetapi juga dapat menyebar ke infrastruktur dan rantai rilis.
Alat coding AI juga dimasukkan ke dalam rantai serangan
Ciri lain dari operasi ini adalah mulai memanfaatkan lingkungan pengembangan yang dibantu AI. Beberapa paket malware berisi file konfigurasi seperti .cursorrules dan CLAUDE.md, yang bertujuan untuk memengaruhi pemahaman dan eksekusi instruksi proyek oleh asisten pengkodean AI.
Laporan menunjukkan bahwa penyerang tidak hanya mengandalkan eksekusi kode jahat tradisional, tetapi juga berusaha memanfaatkan alur kerja alat AI untuk mendorongnya mengekspos informasi sensitif atau menjalankan tindakan yang tidak tepat. Ini menunjukkan bahwa serangan rantai pasokan semakin meluas dari tingkat kode ke rantai alat otomatisasi yang digunakan oleh pengembang.