Önemli Çıkarımlar:
Kripto ve yapay zeka geliştiricilerini hedef alan koordineli bir yazılım tedarik zinciri saldırısı, kimlik bilgilerini ve dijital varlıkları çalmak üzere tasarlanmış 34'ten fazla kötü amaçlı paketle yayılıyor. Geliştirici platformu Socket tarafından "TrapDoor" olarak adlandırılan kampanya, ilk olarak 22 Mayıs'ta tespit edildi ve npm, PyPI ve Crates.io açık kaynak paket kayıt defterlerini kapsıyor.
Socket, Pazar günü yayınladığı bir raporda, "TrapDoor; kripto, DeFi, Solana ve yapay zeka topluluklarındaki geliştiricileri hedef alıyor. Kötü amaçlı paketler; geliştirici sırlarını, kripto cüzdanlarını, SSH anahtarlarını, bulut kimlik bilgilerini, tarayıcı verilerini ve ortam değişkenlerini çalmak için tasarlandı," dedi.
Zararlı yazılım kampanyası, her ekosistem için farklı saldırı yöntemleri kullanan çok platformlu yaklaşımıyla dikkat çekiyor. npm üzerinde, kimlik bilgisi çalan bir yükü yürütmek için postinstall kancalarını kullanıyor. PyPI'daki Python paketleri, içe aktarma sırasında uzak JavaScript kodunu getirip çalıştıracak şekilde tasarlanmışken; Crates.io'daki Rust paketleri, yerel anahtar depolarını bulup sızdırmak için kötü amaçlı build.rs betiklerini kullanıyor. Saldırı özellikle Sui, Solana ve Aptos gibi cüzdanları hedef alıyor.
Operasyon ayrıca, yapay zeka kodlama asistanlarını ele geçirmeye çalışan yeni bir tehdit vektörünü de ortaya çıkarıyor. Saldırganlar; LangChain ve Langflow gibi popüler yapay zeka projelerine pull request'ler göndererek .cursorrules ve CLAUDE.md gibi yapılandırma dosyalarına gizli talimatlar ekledi. Socket, amacın yapay zeka araçlarını kandırarak geliştiricinin ortamındaki sırları keşfedecek ve dışarı sızdıracak sahte "güvenlik taramaları" yapmalarını sağlamak olduğunu belirtti; bu durum saldırganların modern geliştirici iş akışlarını hedef alacak şekilde nasıl evrildiğini gösteriyor.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
