ایک نئی کرپٹو چوری کی مہم وہ ڈویلپرز کو ٹارگٹ کر رہی ہے جن کے پاس اکثر والٹ کی keys، کلاؤڈ کریڈنشلز اور پروڈکشن تک رسائی اپنے مشینوں پر موجود ہوتی ہے۔
سیکیورٹی فرم سوکٹ کے محققین نے اس هفتے ابتداء میں بتایا کہ انہوں نے تین بڑے اوپن سورس پروگرامنگ رجسٹریز میں پھیلی ہوئی ایک سپلائی چین حملہ، جسے TrapDoor کہا جاتا ہے، شناخت کیا ہے، جس میں 34 سے زائد خطرناک پیکجز اور سینکڑوں متعلقہ ورژنز اور آرٹی فیکٹس شامل ہیں۔
ایک اہم نتیجہ یہ ہے کہ حملہ آور اب زیادہ مرکوز ہو رہے ہیں۔ سوشل انجینئرنگ کے علاوہ، جو کلیدی معلومات رکھنے والے افراد کو ٹارگٹ کرتی ہے، سپلائی چین حملے ایسے ہوتے ہیں جو تصادفی ریٹیل صارفین کو نہیں بلکہ ڈویلپرز کو ٹارگٹ کرتے ہیں۔ یہی وہ لوگ ہیں جن کے پاس ایک ہی مشین پر والٹ فائلیں، SSH کلیدیں، GitHub ٹوکنز، کلاؤڈ کریڈنشلز اور کرپٹو اور AI ٹولز بنانے کے لیے پروڈکشن تک رسائی ہو سکتی ہے۔
سکیٹ نے قربانیوں یا چوری شدہ فنڈز کی شناخت نہیں کی، لیکن کہا کہ پیکیجز npm، PyPI اور Crates.io پر لائیو تھے اور ان میں ایسے پیلود شامل تھے جو والٹ ڈیٹا چوری کر سکتے تھے، کریڈنشلز کو باہر نکال سکتے تھے، AWS اور GitHub ٹوکنز کا ٹیسٹ کر سکتے تھے اور رسائی کو فعال رکھنے کے لیے فائلیں چھوڑ سکتے تھے۔
جیسکرپٹ، پائیتھن اور رسٹ میں پروگرام کیے گئے پیکجز ڈویلپر ہیلپرز، سیکیورٹی اسکینرز، والٹ ٹولز، سولڈیٹی یوٹلیٹیز، AI پرامپٹ پیکجز اور Sui یا Move بِلڈ ہیلپرز کے طور پر چھپائے گئے تھے۔
ناموں کو جان بوجھ کر بورنگ رکھا گیا تھا۔ پیکیجز کو "wallet-security-checker"، "defi-risk-scanner"، "solidity-build-guard"، "move-compiler-tools" اور "llm-context-compressor" نام دیا گیا، جو ایسے چھوٹے یوزٹلیٹیز جیسے لگتے تھے جنہیں کریپٹو یا AI ڈویلپر بغیر زیادہ سوچے ہو سکتا ہے انسٹال کر لے۔
لیکن ایک بار نصب ہونے کے بعد، پیلود نے پیکیج ڈیٹا سے بہت زیادہ ڈیٹا کو حاصل کرنے کی کوشش کی۔
npm پیکیجز میں، میلویئر نے ڈیولپر کے مachines میں پرائیویٹ کلوز، پاس ورڈز، گٹھب ٹوکنز اور کلاؤڈ لاگ ان تلاش کیے۔ اس نے کچھ چوری شدہ اعتماد کا امتحان بھی کیا، ایس ایس ایچ کلوز کے ذریعے دوسرے سسٹمز میں داخل ہونے کی کوشش کی اور ایسی فائلیں چھوڑ دیں جو انفیکشن کو فعال رکھ سکتی ہیں۔
ایس ایچ ایس کلیدیں وہ لاگ ان فائلیں ہیں جن کا استعمال ڈویلپرز سرورز، کوڈ ریپوزٹریز اور دیگر مشینوں تک رسائی حاصل کرنے کے لیے کرتے ہیں۔ اگر چوری ہو جائیں تو یہ حملہ آور کو ایک متاثرہ لیپ ٹاپ سے کمپنی کے وسیع انفراسٹرکچر تک منتقل ہونے کی اجازت دے سکتی ہیں۔
حملہ .cursorrules اور claude.md جیسے فائلز بھی استعمال کرتا ہے، جو ڈیولپرز کو AI کوڈنگ ٹولز کو منصوبہ خاص ہدایات دینے کی اجازت دیتے ہیں۔ سوکٹ نے کہا کہ اس مہم نے صفر width Unicode کریکٹرز کا استعمال کرتے ہوئے پوشیدہ ہدایات ڈال دیں، جو ظاہرًا مستقبل کے AI اسسٹنٹ سیشنز کو جعلی "سیکورٹی اسکینز" چلانے کی کوشش کر رہے ہیں جو رازوں کو جمع اور باہر نکال رہے ہیں۔
اس سے حملہ ایک عام پیکج اسٹیلر سے ڈویلپر ماحول کے میلوور کی طرف موڑ دیا گیا۔ پیکج انسٹال صرف پہلا مرحلہ ہے، جبکہ اصل ہدف ورک اسٹیشن ہے، جیسے والٹس، ریپوز، براؤزر ڈیٹا، کلاؤڈ کلیدیں، SSH ایکسس اور جو بھی AI کوڈنگ ٹولز آگے پڑھیں گے۔
رست پیکیجز کا استعمال مصنوعات کے دوران مضر build.rs اسکرپٹس کو چلانے کے لیے کیا گیا، جو sui اور move ڈویلپرز کو ہدف بناتے تھے۔ PyPI پیکیجز درآمد کے دوران ریموٹ جاوااسکرپٹ چلاتے تھے۔ npm پر موجود پیکیجز نے postinstall ہُکس کا استعمال کیا۔
سکیٹ نے کہا کہ اس نے پیکیجز کو متاثرہ رجسٹریز کو رپورٹ کیا اور کیمپین کے پیکیجز کو مضر قرار دیا۔ کمپنی نے یہ بھی چیتن کیا کہ حملہ آور نے AI اور ڈویلپر پروجیکٹس کے لیے پل ای ریکسٹس کھول دیے، جس میں عام اوپن سورس کنٹریبیوشن کے راستوں کے ذریعے .cursorrules اور CLAUDE.md فائلز شامل کرنے کی کوشش کی گئی۔