Soclet araştırmacıları, npm, PyPI ve Crates.io paketlerini kullanan kripto geliştiricilerini hedef alan yeni bir tedarik zinciri saldırısı ortaya çıkardı. "Trapdoor" olarak adlandırılan bu kampanya, kripto sektöründeki geliştiricilerin kripto cüzdan anahtarlarını ve diğer gizli bilgilerini çalmak üzerine odaklanıyor.
Trapdoor Kötü Amaçlı Yazılımı: Kripto Geliştiricilerini Hedef Alan Büyük Çaplı Tedarik Zinciri Saldırısı
YAZAN
PAYLAŞ
Önemli Noktalar
- 22 Mayıs'ta Soclet, kripto cüzdanlarını ve anahtarlarını çalmak için 34 geliştirici paketini enfekte eden Trapdoor kötü amaçlı yazılımını tespit etti.
- 384 sürümü kapsayan bu kampanya, AI araçlarını kandırıyor ve geliştirme pazarını ciddi şekilde etkiliyor.
- Eylül ayında yaşanan benzer bir saldırının ardından Socket, geliştiricileri kripto hırsızlığına karşı AI ortamlarını güvence altına almaları konusunda uyarıyor.
Tedarik Zinciri Saldırı Planı Trapdoor, Maksimum Performans İçin Geliştiricileri Hedefliyor
Bazı kötü amaçlı yazılım kampanyaları günlük kripto kullanıcılarını hedef alırken, diğerleri geliştiricilere odaklanarak büyük miktarda kripto para birimine sahip olma ve daha geniş kaynaklara erişim şansı daha yüksek olan hedefleri ele geçirmeyi amaçlıyor.
Tedarik zinciri saldırılarını önleme konusunda uzmanlaşmış bir şirket olan Socket'taki araştırmacılar, npm, PyPI ve Crates.io'da virüslü paketler kullanarak kripto geliştiricilerini hedef alan geniş çaplı bir kampanya tespit etti.
Trapdoor olarak adlandırılan tedarik zinciri saldırısı, bu geliştirme ortamlarındaki 34 paketi kapsıyor ve 384'ün üzerinde sürümü içeriyor; bunlardan bazıları hâlâ mevcut. Socket, etkilenen paketlerin 22 Mayıs'tan itibaren dalgalar halinde yayınlandığını ve ardından takip eden hafta sonu boyunca güncellendiğini bildirdi.
Paketler, genel geliştirici araçlarını temsil ettikleri ve farklı kayıt defterlerinde arka arkaya hızla göründükleri iddia edildiği için doğaları gereği dikkat çekti. Socket, bunun kampanyaya "kripto cüzdanlarının, bulut kimlik bilgilerinin, Github jetonlarının ve SSH anahtarlarının bulunma olasılığının yüksek olduğu komşu geliştirici topluluklarında geniş bir erişim" sağladığını değerlendirdi.
Virüs bulaşmış paketler, kripto geliştiricilerinin geliştirme ortamına sızarak, bu sözde açık kaynak araçlarından yararlanıyor ve gizli bilgileri, kripto cüzdanları, güvenli kabuk (SSH) anahtarlarını ve diğer ilgili verileri ele geçiriyor.
Trapdoor ile enfekte olmuş paketler ayrıca, AI araçlarını saldırılarına dahil etmeye çalışır; direktif dosyalarını kullanarak AI kodlama araçlarını kandırır, güvenlik taraması yaptırır ve son derece hassas verileri sızdırır.
Socket, bu tekniğin tüm AI araçları ve modellerinde tutarlı bir şekilde çalışmayabileceğini, ancak varlığının saldırganların "tedarik zinciri kötü amaçlı yazılım kampanyalarının bir parçası olarak AI geliştirme ortamlarını aktif olarak denediklerini" gösterdiğini belirtti.
Zincir saldırıları giderek daha yaygın hale geliyor. Eylül ayında, kripto topluluğu benzer bir saldırı konusunda uyarıldı; kripto cüzdanları tarafından kullanılan birkaç paket ele geçirildi ve bitcoin, ether ve solana gibi dijital varlıkların bulunduğu cüzdanlardan kripto para birimi fonlarını çalmak için değiştirildi.
