Solana, Sui ve Aptos cüzdan verileri TrapDoor paketi saldırısında hedef alındı

Yeni bir kripto hırsızlığı kampanyası, cüzdan anahtarlarına, bulut kimlik bilgilerine ve üretim erişimine makinelerinde sahip olma olasılığı en yüksek olan geliştiricileri hedef alıyor.

Güvenlik firması Socket'ten araştırmacılar, bu hafta başında üç büyük açık kaynaklı programlama kayıt deposunda yayılan TrapDoor adlı bir tedarik zinciri saldırısını tespit ettiklerini açıkladı. Saldırının, 34'ten fazla kötü amaçlı paket ve yüzlerce ilişkili sürüm ile eserden oluştuğu belirtildi.

Önemli bir çıkarım, saldırganların daha hedef odaklı hale gelmesidir. Anahtar bilgileri elinde bulunduran bireyleri hedef alan sosyal mühendisliğin yanı sıra, tedarik zinciri saldırıları rastgele perakende kullanıcılarını yakalamak için değil, geliştiricileri hedef almak üzere tasarlanmıştır. Bu kişiler, kripto ve yapay zeka araçlarını geliştirmek için kullandıkları aynı makinede cüzdan dosyaları, SSH anahtarları, GitHub jetonları, bulut kimlik bilgileri ve üretim erişimine sahip olabilecek kişilerdir.

Socket, mağdurları veya çalınan fonları tespit etmedi ancak paketlerin npm, PyPI ve Crates.io üzerinde aktif olduğunu ve cüzdan verilerini çalabilecek, kimlik bilgilerini dışarı aktarabilecek, AWS ve GitHub tokenlerini test edebilecek ve erişimi sürekli kılmak için dosyalar bırakabilecek yükler içerdiğini belirtti.

JavaScript, Python ve Rust ile programlanmış paketler, geliştirici yardımcıları, güvenlik tarayıcıları, cüzdan araçları, Solidity yardımcıları, yapay zeka istem paketleri ve Sui veya Move derleme yardımcıları olarak gizlenmişti.

Tasarım gereği sıkıcı

İsimler tasarım gereği sıradandı. Paketler "wallet-security-checker," "defi-risk-scanner," "solidity-build-guard," "move-compiler-tools" ve "llm-context-compressor" olarak adlandırılmıştı; bu, bir kripto veya yapay zeka geliştiricisinin fazla düşünmeden yükleyebileceği türden küçük araçlara benziyordu.

Ancak yüklendikten sonra, yükler paket verilerinden çok daha fazlasını çekmeye çalıştı.

npm paketlerinde, kötü amaçlı yazılım geliştiricinin makinesinde özel anahtarlar, parolalar, GitHub belirteçleri ve bulut giriş bilgileri aradı. Ayrıca bazı çalınan kimlik bilgilerini test etti, SSH anahtarları aracılığıyla diğer sistemlere geçiş yapmayı denedi ve enfeksiyonun aktif kalmasını sağlayabilecek dosyalar bıraktı.

SSH anahtarları, geliştiricilerin sunuculara, kod depolarına ve diğer makinelere erişim sağlamak için kullandığı giriş dosyalarıdır. Çalınmaları durumunda, bir saldırganın ele geçirilmiş bir dizüstü bilgisayardan şirketin daha geniş altyapısına geçiş yapmasına olanak tanıyabilir.

Saldırı ayrıca .cursorrules ve claude.md gibi dosyaları kullanıyor; bu dosyalar geliştiricilerin AI kodlama araçlarına projeye özgü talimatlar vermesine olanak tanıyor. Socket, kampanyanın sıfır genişlikte Unicode karakterleri kullanarak gizli talimatlar yerleştirdiğini belirtti; bu talimatlar, gelecekteki AI asistan oturumlarının sahte “güvenlik taramaları” yürütmesini ve gizli bilgileri toplayıp dışarı aktarmasını sağlamayı amaçlıyor gibi görünüyor.

Bu durum, saldırıyı normal bir paket hırsızlığından, geliştirici ortamı kötü amaçlı yazılımına daha yakın bir şeye dönüştürdü. Paket kurulumu sadece ilk adımdır; asıl hedef, cüzdanlar, depolar, tarayıcı verileri, bulut anahtarları, SSH erişimi ve sonraki AI kodlama araçları gibi çalışma istasyonudur.

Rust paketleri, derleme sırasında çalışan kötü amaçlı build.rs betikleri kullanarak sui ve move geliştiricilerini hedef aldı. PyPI paketleri, içe aktarım sırasında uzaktan JavaScript çalıştırdı. npm üzerindeki paketler ise postinstall kancaları kullandı.

Socket, paketleri etkilenen kayıt kuruluşlarına bildirdiğini ve kampanya paketlerini kötü amaçlı olarak sınıflandırdığını açıkladı. Şirket ayrıca, saldırganın AI ve geliştirici projelerine, normal açık kaynak katkı yollarıyla .cursorrules ve CLAUDE.md dosyalarını eklemeye çalışarak pull requestler açtığı konusunda uyarıda bulundu.