Güvenlik firması Socket'teki araştırmacılar bu hafta TrapDoor adlı bir tedarik zinciri kampanyasını açıkladı; npm, PyPI ve Crates.io'ya dağılmış, yüzlerce ilgili sürüm ve yapıtla bağlantılı 34'ten fazla zararlı paket tespit ettiler. Paketler sıradan geliştirici araçları gibi görünüyordu — "wallet-security-checker", "defi-risk-scanner", "solidity-build-guard" ve "move-compiler-tools" gibi isimlerle — ve build makinelerinde gerçek kimlik bilgilerini tutan Solana, Sui, Aptos, DeFi, AI ve güvenlik geliştiricilerini çekecek şekilde özellikle tasarlanmıştı.
Kurulduktan sonra, zararlı yazılımlar üç ekosistemde farklı biçimlerde çalıştı: Rust paketleri, Sui ve Move geliştiricilerini hedef alarak derleme sırasında yürütülen zararlı build.rs betikleri kullandı; PyPI paketleri, içe aktarımda uzaktan JavaScript çalıştırdı; npm paketleri ise postinstall kancalarını kullandı. Zararlı yazılım, geliştirici makinelerinde özel anahtarları, cüzdan dosyalarını, GitHub token'larını, AWS kimlik bilgilerini ve SSH anahtarlarını aradı, çalınan kimlik bilgilerini test etti ve şirket altyapısına ileri hareket için erişimi açık tutmaya yönelik dosyalar bıraktı.
Neden önemli
Tedarik zinciri saldırıları, rastgele bireysel kullanıcıları değil, anahtarları tutma olasılığı en yüksek kişileri yakalamak için tasarlanır. TrapDoor paketleri, bu geliştiricilerin cüzdan dosyalarını, SSH anahtarlarını, GitHub token'larını, bulut kimlik bilgilerini ve üretim erişimini build için kullandıkları aynı makinede tutma eğiliminde olmaları nedeniyle, özellikle kripto ve AI mühendislerini hedef alacak şekilde tasarlanmıştı. Özellikle çalınan SSH anahtarları, bir saldırganın tek bir ele geçirilmiş dizüstü bilgisayardan bir şirketin daha geniş altyapısına geçiş yapmasını sağlayabilir.
Kampanya ayrıca .cursorrules ve CLAUDE.md gibi AI yapılandırma dosyalarını da kötüye kullandı; sıfır genişlikte Unicode karakterleri kullanarak gizli talimatlar yerleştirdi. Amaç, gelecekteki AI kodlama asistanı oturumlarının sırları toplayan ve sızdıran sahte "güvenlik taramaları" çalıştırmasını sağlamaktı — bu da bir paket hırsızını, paket kurulumunun yalnızca ilk adım olduğu geliştirici ortamı zararlı yazılımına dönüştürdü.
Piyasa etkisi
Socket, paketleri etkilenen kayıt defterlerine bildirdiğini ve kampanyayı zararlı olarak sınıflandırdığını söyledi, ancak tespit edilen kurbanların veya çalınan fonların adını vermedi.
Sıkça sorulan sorular
-
TrapDoor tedarik zinciri saldırısı nedir?
TrapDoor, güvenlik firması Socket tarafından açıklanan ve npm, PyPI ile Crates.io'ya kripto, DeFi, AI ve güvenlik araçları temasında geliştirici yardımcı programları gibi görünen 34'ten fazla zararlı paket yerleştiren bir tedarik zinciri kampanyasıdır.
-
TrapDoor paketleri gerçekte ne çaldı?
Paketler, geliştirici makinelerinde cüzdan dosyalarını, özel anahtarları, SSH anahtarlarını, GitHub token'larını, AWS kimlik bilgilerini ve tarayıcı verilerini aradı, çalınan kimlik bilgilerini canlı hizmetlerde test etti ve ileri erişim için kalıcılık dosyaları bıraktı.
-
Paketler Solana, Sui ve Aptos geliştiricilerini nasıl özellikle hedef aldı?
Paket isimleri, bu geliştiricilerin yükleyebileceği sıradan araçlar gibi görünecek şekilde seçildi — "solidity-build-guard", "move-compiler-tools" ve benzerleri — Rust yükleri ise Sui ve Move iş akışlarını hedef alarak derleme sırasında çalışan zararlı build.rs betikleri kullandı.
-
TrapDoor saldırısındaki .cursorrules ve CLAUDE.md açısı nedir?
Saldırganlar, sıfır genişlikte Unicode karakterleri kullanarak AI yapılandırma dosyalarının içine gizli talimatlar yerleştirdi ve gelecekteki AI kodlama asistanı oturumlarının geliştirici ortamından sırları sızdıran sahte "güvenlik taramaları" çalıştırmasını hedefledi.
-
TrapDoor kampanyasından kayıpları doğrulayan oldu mu?
Socket, paketleri etkilenen kayıt defterlerine bildirdiğini ve bunları zararlı olarak sınıflandırdığını söyledi, ancak belirli kurbanların adını vermedi ya da çalınan fonları nicelleştirmedi. Saldırgan ayrıca AI ve geliştirici projelerine karşı pull request açarak dağıtımı normal açık kaynak katkı yolları üzerinden…
CoinDesk