سیکورٹی ریسرچرز نے پایا کہ TrapDoor نامی ایک بری بھیجی گئی میلویئر مہم کئی اوپن سورس سافٹ ویئر ریپوزٹریز میں پھیل رہی ہے، جس میں کرپٹو اور بلاکچین ڈویلپرز کے استعمال کردہ ڈیپینڈنسی ایکوسسٹم شامل ہیں۔ حملہ آور صرف مقامی فائلوں تک محدود نہیں، بلکہ والٹ کلیدوں، کلاؤڈ سروسز کے اعتماد ناموں، اور کوڈ ریپوزٹری تک رسائی ٹوکن جیسے اہم ڈیٹا کو بھی ٹارگٹ کر رہے ہیں۔
تین بڑے اوپن سورس ریپوزیٹریز میں ایک ساتھ بری بھری پیکیجز دریافت ہوئیں
یہ کارروائی npm، PyPI اور Crates.io کے تین اہم سافٹ ویئر پیکیج ایکوسسٹم کو شامل کرتی ہے۔ تحقیق کاروں کے مطابق، 30 سے زائد خطرناک پیکیجز کی شناخت کی گئی ہے، جن سے متعلق متاثرہ ورژنز 300 سے زائد ہیں اور یہ تھوڑے عرصے میں اکٹھے ظاہر ہوئے۔
رپورٹ کے مطابق، یہ مہم تقریباً 22 مئی کے قریب شروع ہوئی۔ اسی دوران، 20 مئی کو گٹہب نے اپنے اندری کوڈ ریپوزٹری میں غیر اجازت دسترس کی اطلاع دی۔ موجودہ معلومات کے مطابق، یہ خطرناک پیکجز الگ الگ اپ لوڈ نہیں کیے گئے، بلکہ انہیں متعدد اکاؤنٹس کے ذریعے مرحلہ وار ڈالا گیا تاکہ ان کی ابتدائی دریافت کا امکان کم ہو جائے۔
نصب اور کمپائل کے مراحل میں ہی فعال ہو جائے گا
TrapDoor کا پھیلاؤ ڈویلپرز کے روزمرہ کے انسٹال اور بِلڈ پروسیجر پر منحصر ہے۔ JavaScript پیکیجز ڈیپینڈنسی انسٹال کے بعد پوسٹ-انسٹال اسکرپٹس کے ذریعے خودکار طور پر چل سکتے ہیں؛ Python پیکیجز امپورٹ فیز کے دوران فعال ہو سکتے ہیں؛ جبکہ Rust پیکیجز بِلڈ اسکرپٹس کے ذریعے کمپائل کے دوران اجرا ہو سکتے ہیں۔
برے کوڈ کے چل جانے کے بعد، یہ مقامی سسٹم میں حساس معلومات جیسے SSH کلیدیں، API ٹوکن، ماحولیاتی متغیرات اور عام ترتیبات کے فائلز کو اسکین کرتا ہے۔ کچھ نمونے براؤزر میں محفوظ شدہ تصدیقی معلومات بھی پڑھتے ہیں اور چوری شدہ ڈیٹا کو حملہ آور کے کنٹرول والے باہری سرور پر بھیج دیتے ہیں۔
تحقیق کرنے والوں نے یہ بھی بتایا کہ کچھ نمونے شروع کرنے کے عمل کو تبدیل کرنے یا ڈویلپمنٹ ٹولز میں برے مقاصد کے لیے ہُکس شامل کرنے کی کوشش کرتے ہیں تاکہ بعد میں تک پہنچ کی صلاحیت برقرار رکھ سکیں۔
والٹ، AWS اور GitHub کو مرکزی نشانہ بنایا گیا ہے
ہدف کے انتخاب سے ظاہر ہوتا ہے کہ یہ حملہ کریپٹو ڈویلپمنٹ کے ماحول کو ہدف بناتا ہے۔ برے نرم افزار کریپٹو والٹ سے متعلق ڈیٹا جمع کرتا ہے اور AWS کریڈنشلز اور GitHub ایکسس ٹوکن حاصل کرنے کی کوشش بھی کرتا ہے۔ اگر یہ معلومات لیک ہو جائیں، تو حملہ ور ایکسیس حاصل کر سکتے ہیں خصوصی کوڈ ریپوزٹریز، ڈیپلومنٹ پروسیجرز اور بیک اینڈ سسٹمز تک۔
کلاؤڈ اور کوڈ کے اجازت ناموں کے علاوہ، SSH کلیدیں بھی اہم ہدف ہیں۔ اگر متعلقہ کلیدیں چوری ہو جائیں، تو حملہ آور اس کے ذریعے ڈیولپر کے ڈیوائس تک پہنچ سکتا ہے، اور یہاں تک کہ پروڈکشن سرورز سے بھی جڑ سکتا ہے۔ کرپٹو پروجیکٹس کے لیے، اس کا مطلب ہے کہ خطرہ صرف انفرادی ٹرمینل تک محدود نہیں رہتا، بلکہ انفرادی ٹرمینل سے زیادہ، بھی بنیادی ڈھانچہ اور ریلیز چین تک پھیل سکتا ہے۔
AI کوڈنگ ٹولز کو بھی حملے کی کڑی میں شامل کر دیا گیا ہے
اس کارروائی کی ایک اور خصوصیت AI سہائی ترقیاتی ماحول کا استعمال شروع کرنا ہے۔ کچھ برے نیت والے پیکجز میں .cursorrules، CLAUDE.md جیسے ترتیب کے فائلیں شامل ہیں جو AI کوڈنگ اسسٹنٹ کو منصوبے کے حکمات کو سمجھنے اور ان پر عمل کرنے میں متاثر کرنے کا ارادہ رکھتی ہیں۔
رپورٹ کے مطابق، حملہ آور صرف روایتی بری بھری کوڈ اجراء پر انحصار نہیں کرتے، بلکہ AI ٹولز کے ورک فلو کا استعمال کرکے حساس معلومات کو افشا یا غلط عمل کرنے کی کوشش بھی کرتے ہیں۔ یہ ظاہر کرتا ہے کہ سپلائی چین حملے اب کوڈ لیول سے آگے بڑھ کر ڈویلپرز کے استعمال کی جانے والی آٹومیٹڈ ٹول چین تک پھیل رہے ہیں۔