Penyelidik keselamatan menemui satu siri serangan perisian jahat bernama TrapDoor yang sedang merebak di pelbagai gudang perisian sumber terbuka, mempengaruhi ekosistem dependensi yang sering digunakan oleh pembangun kripto dan blockchain. Sasaran penyerang bukan sahaja fail tempatan, tetapi juga kunci dompet, kredensial perkhidmatan awan, dan token akses gudang kod.
Tiga repositori sumber terbuka muncul secara serentak dengan paket jahat
Operasi ini merangkumi tiga ekosistem perisian utama: npm, PyPI, dan Crates.io. Para penyelidik menyatakan bahawa lebih daripada 30 paket jahat telah dikenal pasti, dengan lebih daripada 300 versi yang terjejas, yang muncul secara berpusat dalam tempoh yang singkat.
Laporan tersebut menyebutkan bahawa kampanye ini kira-kira bermula meningkat pada sekitar 22 Mei. Sementara itu, GitHub telah mengumumkan pada 20 Mei bahawa terdapat akses tidak sah ke repositori dalaman. Maklumat semasa menunjukkan bahawa pakej jahat ini bukanlah diunggah secara berasingan, tetapi disebarkan secara bertahap oleh beberapa akaun untuk mengurangkan kemungkinan dikesan pada peringkat awal.
Boleh dipicu semasa peringkat pemasangan dan kompilasi
Cara penyebaran TrapDoor bergantung pada aliran pemasangan dan pembinaan yang digunakan pengembang sehari-hari. Pakej JavaScript boleh dijalankan secara automatik selepas pemasangan dependensi melalui skrip post-install; pakej Python boleh memicu semasa peringkat import; pakej Rust pula boleh melaksanakan skrip pembinaan semasa kompilasi.
Selepas kod jahat dijalankan, ia akan memindai maklumat sensitif dalam sistem tempatan, termasuk kunci SSH, token API, pemboleh ubah persekitaran, dan fail konfigurasi biasa. Sebahagian sampel juga akan membaca maklumat pengesahan yang disimpan oleh pelayar, kemudian menghantar data yang dicuri ke pelayan luar yang dikendalikan oleh penyerang.
Penyelidik juga menyebut bahawa sampel individu akan cuba memodifikasi proses permulaan, atau menyisipkan hook jahat ke dalam alat pembangunan untuk mengekalkan kemampuan akses seterusnya.
Dompet, AWS, dan GitHub menjadi sasaran utama
Dari pilihan sasaran, serangan ini jelas menargetkan persekitaran pembangunan kripto. Perisian jahat akan mengumpul data berkaitan dompet kripto, serta cuba mendapatkan kredensial AWS dan token akses GitHub. Maklumat semacam ini, sekiranya bocor, boleh membolehkan penyerang mengakses repositori kod peribadi, proses pelaksanaan, dan sistem belakang.
Selain akses awan dan kod, kunci SSH juga merupakan sasaran utama. Jika kunci yang berkaitan dicuri, penyerang boleh menggunakan ia untuk masuk ke peranti pembangun, bahkan menghubungkan ke pelayan pengeluaran. Bagi projek kripto, ini bermakna risiko tidak terhad pada peranti peribadi sahaja, tetapi juga boleh merebak ke infrastruktur dan saluran pelancaran.
Alat pengkodean AI juga dimasukkan ke dalam rantai serangan
Ciri lain dalam operasi ini ialah permulaan penggunaan persekitaran pembangunan yang dibantu AI. Sebahagian pakej perisian jahat mengandungi fail konfigurasi seperti .cursorrules dan CLAUDE.md, yang bertujuan untuk mempengaruhi pemahaman dan pelaksanaan arahan projek oleh pembantu pengkodean AI.
Laporan menunjukkan bahawa penyerang tidak hanya bergantung pada pelaksanaan kod jahat tradisional, tetapi juga cuba memanfaatkan aliran kerja alat AI untuk mendorongnya memaparkan maklumat sensitif atau menjalankan tindakan yang tidak sesuai. Ini menunjukkan bahawa serangan rantai bekalan sedang meluas dari peringkat kod ke rantai alat automatik yang digunakan oleh pembangun.