นักวิจัยด้านความปลอดภัยพบว่า แคมเปญมัลแวร์ที่เรียกว่า TrapDoor กำลังแพร่กระจายไปยังคลังซอฟต์แวร์โอเพ่นซอร์สหลายแห่ง โดยมีระบบนิเวศของความพึ่งพาที่นักพัฒนาคริปโตและบล็อกเชนใช้งานทั่วไปเป็นเป้าหมาย ผู้โจมตีมุ่งเป้าไปที่ข้อมูลคุณค่าสูง เช่น กุญแจกระเป๋าเงิน ข้อมูลรับรองบริการคลาวด์ และโทเค็นการเข้าถึงคลังรหัส
มีแพ็กเกจที่เป็นอันตรายปรากฏพร้อมกันในสามรีโพสิทอรีโอเพนซอร์ส
การดำเนินการครั้งนี้ครอบคลุมระบบนิเวศซอฟต์แวร์หลักสามแห่ง ได้แก่ npm, PyPI และ Crates.io นักวิจัยระบุว่าพบแพ็กเกจที่เป็นอันตรายมากกว่า 30 รายการ พร้อมเวอร์ชันที่ได้รับผลกระทบเกิน 300 เวอร์ชัน ซึ่งปรากฏขึ้นอย่างหนาแน่นในช่วงเวลาสั้นๆ
รายงานระบุว่า กิจกรรมนี้เริ่มมีความรุนแรงขึ้นประมาณวันที่ 22 พฤษภาคม ในขณะเดียวกัน GitHub ได้แจ้งเมื่อวันที่ 20 พฤษภาคม ว่ามีการเข้าถึงคลังรหัสภายในโดยไม่ได้รับอนุญาต ข้อมูลปัจจุบันแสดงว่าแพ็กเกจที่เป็นอันตรายเหล่านี้ไม่ได้ถูกอัปโหลดแบบสุ่ม แต่ถูกปล่อยออกมาเป็นชุดๆ โดยบัญชีหลายบัญชี เพื่อลดโอกาสที่จะถูกตรวจพบในระยะเริ่มต้น
สามารถกระตุ้นได้ในขั้นตอนการติดตั้งและคอมไพล์
วิธีการแพร่กระจายของ TrapDoor ขึ้นอยู่กับกระบวนการติดตั้งและการสร้างที่นักพัฒนาใช้ประจำวัน แพ็กเกจ JavaScript สามารถรันอัตโนมัติผ่านสคริปต์ post-install หลังจากการติดตั้งการพึ่งพา; แพ็กเกจ Python สามารถกระตุ้นได้ในระหว่างขั้นตอนการนำเข้า; ส่วนแพ็กเกจ Rust สามารถดำเนินการในระหว่างการคอมไพล์ผ่านสคริปต์การสร้าง
หลังจากรหัสที่เป็นอันตรายทำงาน ระบบจะสแกนข้อมูลที่ละเอียดอ่อนในระบบ本地 รวมถึงคีย์ SSH, โทเค็น API, ตัวแปรสภาพแวดล้อม และไฟล์การตั้งค่าทั่วไป ตัวอย่างบางตัวยังอ่านข้อมูลการรับรองที่เบราว์เซอร์บันทึกไว้ และส่งข้อมูลที่ขโมยไปยังเซิร์ฟเวอร์ภายนอกที่ผู้โจมตีควบคุม
นักวิจัยยังระบุว่าตัวอย่างบางตัวจะพยายามแก้ไขกระบวนการเริ่มต้น หรือแทรกฮุกที่เป็นอันตรายลงในเครื่องมือพัฒนา เพื่อรักษาความสามารถในการเข้าถึงในภายหลัง
กระเป๋าเงิน, AWS และ GitHub เป็นเป้าหมายหลัก
จากการเลือกเป้าหมาย ภัยคุกคามชุดนี้มีเป้าหมายชัดเจนที่บริบทการพัฒนาสกุลเงินดิจิทัล ซอฟต์แวร์อันตรายจะรวบรวมข้อมูลที่เกี่ยวข้องกับกระเป๋าสตางค์สกุลเงินดิจิทัล พร้อมพยายามรับข้อมูลรับรอง AWS และโทเค็นการเข้าถึง GitHub ข้อมูลเหล่านี้หากถูกเปิดเผย ผู้โจมตีอาจเข้าถึงคลังรหัสส่วนตัว กระบวนการปรับใช้ และระบบแบ็กเอนด์ได้เพิ่มเติม
นอกเหนือจากสิทธิ์ในคลาวด์และรหัส คีย์ SSH ก็เป็นเป้าหมายสำคัญเช่นกัน หากคีย์ที่เกี่ยวข้องถูกขโมย ผู้โจมตีอาจใช้เพื่อเข้าถึงอุปกรณ์ของนักพัฒนา หรือแม้แต่เชื่อมต่อกับเซิร์ฟเวอร์ผลิต สำหรับโครงการเข้ารหัส นี่หมายความว่าความเสี่ยงไม่ได้จำกัดอยู่ที่อุปกรณ์ส่วนตัวเท่านั้น แต่ยังอาจแพร่กระจายไปยังโครงสร้างพื้นฐานและเส้นทางการเผยแพร่
เครื่องมือเขียนโค้ด AI ยังถูกรวมเข้าไปในโซ่การโจมตี
คุณลักษณะอีกประการหนึ่งของการดำเนินการครั้งนี้คือการเริ่มใช้สภาพแวดล้อมการพัฒนาที่ช่วยด้วย AI แพ็กเกจมัลแวร์บางส่วนมีไฟล์การตั้งค่า เช่น .cursorrules และ CLAUDE.md ซึ่งมีจุดประสงค์เพื่อส่งผลกระทบต่อความเข้าใจและการดำเนินการคำสั่งของโครงการโดยตัวช่วยเขียนโค้ดที่ใช้ AI
รายงานชี้ให้เห็นว่าผู้โจมตีไม่ได้พึ่งพาการดำเนินการรหัสที่เป็นอันตรายแบบดั้งเดิมเพียงอย่างเดียว แต่ยังพยายามใช้กระบวนการของเครื่องมือ AI เพื่อชี้นำให้เปิดเผยข้อมูลที่ละเอียดอ่อนหรือดำเนินการที่ไม่เหมาะสม ซึ่งแสดงให้เห็นว่าการโจมตีในห่วงโซ่อุปทานกำลังขยายตัวจากระดับรหัสไปสู่เครื่องมืออัตโนมัติที่นักพัฒนาใช้งาน