Güvenlik araştırmacıları, TrapDoor adlı bir kötü amaçlı yazılım kampanyasının, kripto ve blok zinciri geliştiricilerinin sık kullandığı bağımlılık ekosistemlerini içeren birden fazla açık kaynak yazılım deposunda yayıldığını tespit etti. Saldırganların hedefi sadece yerel dosyalar değil, aynı zamanda cüzdan anahtarları, bulut hizmeti kimlik bilgileri ve kod deposu erişim belirteçleri gibi yüksek değerli veriler.
Üç büyük açık kaynak deposunda aynı anda zararlı paketler ortaya çıktı
Bu operasyon, npm, PyPI ve Crates.io olmak üzere üç ana yazılım paket ekosistemini kapsıyor. Araştırmacılar, 30'tan fazla zararlı paket ve ilgili etkilenen sürümlerin 300'den fazla olduğunu, bunların kısa bir süre içinde yoğun bir şekilde ortaya çıktığını belirtti.
Haber, bu kampanyanın yaklaşık 22 Mayıs'ta yoğunlaşmaya başladığını belirtiyor. Aynı zamanda, GitHub 20 Mayıs'ta iç kod deposunda yetkisiz erişim olduğunu duyurdu. Mevcut bilgiler, bu zararlı paketlerin tekil olarak yüklenmediğini, bunun yerine erken dönemde keşfedilme olasılığını azaltmak için birden fazla hesap tarafından aşamalı olarak yerleştirildiğini gösteriyor.
Yükleme ve derleme aşamasında tetiklenebilir
TrapDoor'un yayılma yöntemi, geliştiricilerin günlük olarak kullandığı kurulum ve derleme süreçlerine dayanır. JavaScript paketleri, bağımlılıklar kurulduktan sonra post-install betikleriyle otomatik olarak çalıştırılabilir; Python paketleri, içe aktarma aşamasında tetiklenebilir; Rust paketleri ise derleme sırasında build betikleri aracılığıyla çalıştırılabilir.
Zararlı kod çalıştırıldığında, SSH anahtarları, API belirteçleri, ortam değişkenleri ve yaygın yapılandırma dosyaları dahil olmak üzere yerel sistemdeki hassas bilgileri tarar. Bazı örnekler, tarayıcıda kaydedilmiş kimlik doğrulama bilgilerini de okur ve çalınan verileri saldırganın kontrolündeki dış sunuculara gönderir.
Araştırmacılar, bireysel örneklerin başlatma sürecini değiştirmeye veya geliştirme araçlarına kötü niyetli kancalar eklemeye çalıştığını da belirtti.
Cüzdanlar, AWS ve GitHub hedef alınıyor
Hedef seçimi açısından, bu saldırı açıkça kripto geliştirme ortamlarını hedef almaktadır. Zararlı yazılım, kripto cüzdanlarıyla ilgili verileri toplar ve aynı zamanda AWS kimlik bilgilerini ve GitHub erişim belirteçlerini elde etmeye çalışır. Bu bilgilerin sızması durumunda, saldırganlar özel kod deposuna, dağıtım süreçlerine ve arka uç sistemlerine daha fazla erişim sağlayabilir.
Bulut ve kod erişim izinlerinin yanı sıra SSH anahtarları da öncelikli hedeflerdir. İlgili anahtarlar çalınırsa, saldırganlar bunları kullanarak geliştirici cihazlarına girebilir ve hatta üretim sunucularına bağlanabilir. Kripto projeleri için bu, riskin yalnızca bireysel uç noktalarda kalmayıp altyapıya ve yayın zincirine yayılma olasılığını beraberinde getirir.
AI kodlama araçları da saldırı zincirine dahil edildi
Bu kampanyanın diğer bir özelliği, AI destekli geliştirme ortamının kullanımına başlamaktır. Bazı zararlı paketlerde, AI kodlama asistanlarının projeye yönelik talimatları anlama ve uygulama süreçlerini etkilemeyi amaçlayan .cursorrules, CLAUDE.md gibi yapılandırma dosyaları bulunmaktadır.
Raporlara göre, saldırganlar yalnızca geleneksel zararlı kod yürütme yöntemlerine değil, aynı zamanda AI araçlarının iş akışlarını kullanarak hassas bilgilerin açığa çıkmasını veya yanlış işlemler yapılmasını sağlamaya çalışıyor. Bu, tedarik zinciri saldırılarının kod düzeyinden, geliştiricilerin kullandığı otomasyon araç zincirlerine kadar genişlediğini gösteriyor.