Fiyatlar yükleniyor…
🩸BEARISH

npm ve PyPI'da 34 Zararlı Paketle TrapDoor Tedarik Zinciri Saldırısı

Socket'in TrapDoor açıklaması, geliştirici makinelerini, CI/CD kimlik bilgilerini ve AI kodlama dosyalarını hedef alan npm, PyPI ve Crates.io'da 34'ten fazla zararlı paketi ortaya çıkardı — bir akıllı kontrat denetiminin kontrol düzlemi…

Socket'in 24 Mayıs'taki TrapDoor açıklaması, npm, PyPI ve Crates.io genelinde 34'ten fazla zararlı paket ve bunlarla ilişkili 384 sürümü belgeledi; bunların her biri son kullanıcıları değil, DeFi protokollerini geliştirip yayınlayan geliştiricileri hedef alıyordu. Zararlı yükler sıradan iş akışlarına gizlenmişti — npm postinstall kancaları, PyPI içe-aktarım zamanı çekimleri, Rust build.rs betikleri — dolayısıyla tek bir `npm install` ya da `cargo build` tüm saldırı yüzeyini oluşturuyordu. Ele geçirilmiş bir geliştirici makinesinden kampanya, depolara, CI/CD işlem hatlarına, bulut hesaplarına ve dağıtım anahtarlarına ulaştı: bir protokolün mainnet'e nasıl ulaştığını ve sonrasında nasıl güncel tutulduğunu yöneten her kimlik bilgisi sınıfı.

Neden önemli

TrapDoor ayrıca .cursorrules ve CLAUDE.md gibi AI kodlama asistanı yapılandırma dosyalarına gizli Unicode kullanarak gizli talimatlar yerleştirmeye çalıştı; amaç Cursor ve Claude Code gibi araçları gizli keşfi ve dışa sızdırmaya yönlendirmekti. Depoyu okuyan AI, dışa sızdırma kanalına dönüşüyor. SafeDep, TanStack, Mistral SDK, UiPath, OpenSearch ve Guardrails AI kapsamında 170'ten fazla npm ve 2 PyPI paketinden oluşan 11 Mayıs kampanyasını kayıtlara geçirdi; StepSecurity 48 saat içinde beş büyük tedarik zinciri saldırısı tespit etti — bunların arasında 2,2 milyon kurulumlu zehirlenmiş bir VS Code eklentisi de vardı — ve Sonatype sadece 2025'te 454.600'den fazla yeni zararlı paket saydı; kümülatif toplam 1,233 milyonun üzerine çıktı. Kod göndermek için kullanılan işlem hattı artık onu çalmak için kullanılan işlem hattı.

Piyasa etkisi

Kontrol düzlemi kalıbının bir DeFi bedeli zaten var. Resolv Mart ayında $23M kaybetti, Drift Nisan ayında saldırganlar sosyal mühendisliği geçerli yönetici imzalarıyla birleştirince $285M kaybetti ve KelpDAO aynı ay zincir-dışı RPC ve DVN altyapısı ele geçirildiğinde yaklaşık $292M kaybetti. Bu başarısızlıkların hiçbiri denetlenen kontratın içinde değildi. TRM Labs, 2026 Nisan ayı itibarıyla Kuzey Kore bağlantılı kripto hırsızlığını ~$577M olarak belirliyor — dönemdeki tüm kripto kayıplarının %76'sı — ve Chainalysis 2025'te toplam kripto hizmeti hırsızlığını $3,4 milyarın üzerinde kaydetti; ilk üç olay tek başına %69'u oluşturuyor. TrapDoor tarzı bir ihlal orta-büyük bir protokolde dağıtıcı anahtarlarına, köprü doğrulayıcı altyapısına ya da yönetici kimlik bilgilerine ulaşırsa, ayı senaryosu 2026'nın yılbaşından bugüne toplamına $100M–$300M ekler ve yıllık DeFi kayıplarını $1B'a doğru ya da üstüne iter. Kontrol altına alınırsa, Socket'in ortalama 5 dakika 56 saniyelik tespit penceresi ile hızlı kimlik bilgisi rotasyonu kayıp çizgisini Immunefi'nin 2025 temeli olan $680M'a yakın tutuyor. Akıllı kontrat katmanı olgunlaştı — Immunefi'nin medyan olay büyüklüğü 2022'deki $6M'dan 2025'te $1,5M'a düştü — ama saldırganlar çoktan bir kontrat denetiminin hiç görmediği sistemlere doğru yukarı yönde ilerledi.

Sıkça sorulan sorular

  1. Socket'in TrapDoor açıklaması nedir?

    Socket, 24 Mayıs'ta TrapDoor açıklamasını yayınlayarak npm, PyPI ve Crates.io genelinde 34'ten fazla zararlı paket ve 384 ilişkili sürümü belgeledi. Postinstall kancaları, içe-aktarım zamanı çekimleri ve Rust build.rs betikleri aracılığıyla DeFi geliştiricilerini hedef alan paketler; depoları, CI/CD kimlik…

  2. TrapDoor AI kodlama asistanlarını nasıl hedef alıyor?

    TrapDoor, .cursorrules ve CLAUDE.md gibi AI asistanı yapılandırma dosyalarına gizli Unicode talimatları enjekte etmeye çalıştı. Amaç Cursor ve Claude Code gibi araçları gizli keşfi ve dışa sızdırmaya yönlendirerek AI asistanının kendisini dışa sızdırma kanalına dönüştürmekti.

  3. DeFi'de kontrol düzlemi saldırı kalıbı nedir?

    Kontrol düzlemi kalıbı, akıllı kontratın çevresindeki operasyonel katmanı hedef alır — dağıtıcı izinleri, köprü doğrulayıcıları, bulut altyapısı, yönetici anahtarları, zincir-dışı RPC uç noktaları ve artık geliştirici makineleriyle CI/CD işlem hatları. Resolv ($23M), Drift ($285M) ve KelpDAO (~$292M) bu katmanda,…

  4. TrapDoor tarzı bir istismar 2026'nın DeFi kayıplarına ne kadar ekleyebilir?

    Socket, Chainalysis, TRM Labs ve Immunefi verileri, orta-büyük bir protokolde dağıtıcı anahtarlarına, köprü doğrulayıcı altyapısına ya da yönetici kimlik bilgilerine ulaşan tek bir ihlal için ayı senaryosunu $100M–$300M olarak çerçeveliyor. Bu da 2026 DeFi kayıplarını $1B'a doğru ya da üstüne iter; Immunefi'nin 2025…

  5. TrapDoor paketi bir derlemeye dahil olursa hasarı ne sınırlar?

    Socket'in sistemleri ortalama 5 dakika 56 saniyelik tespit süresi kaydetti. Kontrol altına alınan senaryoda: hızlı tespit ve ele geçirilen kimlik bilgilerinin çabuk rotasyonu, kayıp çizgisini Immunefi'nin 2025 temeli olan $680M'a yakın tutar ve kampanyayı kimlik bilgisi hijyeni ile bağımlılık inceleme çalışmalarıyla…

Kaynak atıf
Şuradan derlenmiştir CryptoSlate · Doğrulanmış · Son güncelleme 45g önce
Orijinali aç →