Soclet araştırmacıları bu hafta, kripto geliştiricilerini hedef alan ve Trapdoor adı verilen bir tedarik zinciri saldırısı ortaya çıkardı. Zararlı yazılım, npm, PyPI ve Crates.io depolarındaki tehlikeli paketler aracılığıyla yayılır ve kripto para cüzdan anahtarlarını ile geliştirici sırlarını çalar. Tipik kripto dolandırıcılıklarından farklı olarak, bu saldırı günlük kullanıcıları hedef almaz.
Trapdoor Nasıl Yayılıyor
Saldırganlar, görünüşte legitimate yazılım kütüphanelerine zararlı kod enjekte etti. Doğrulama yapmadan bu zehirli paketleri yükleyen geliştiriciler, zararlı yazılımı otomatik olarak aktive etti. Bu, geliştiricilerin günlük kullandığı güvenilir paket yöneticileri üzerinden gerçekleşti.
Çalınan Veriler
Trapdoor zararlı yazılımı, kripto para cüzdan anahtarlarını ve hassas geliştirme kimlik bilgilerini ele geçiriyor. Bu, proje hazine cüzdanlarının ve iç güvenlik tokenlerinin tehlikeye girebileceği anlamına geliyor. Geliştiriciler, fonlar kaybolana kadar sistemlerinin sırları yayınladığının farkına varmayabilir.
Neden Geliştiriciler Hedef Alınıyor
Tek bir geliştiriciden çalmak, son kullanıcıları hedef almakla karşılaştırıldığında daha fazla kazanç sağlayabilir. Bir tehlikeye giren cüzdan, proje fonlarını barındırıyor veya tam kod tabanlarına erişim sağlıyor olabilir. Bu rastgele bir hırsızlık değil—hedefe yönelik bir operasyon. Saldırganlar gerçek değerin nerede olduğunu biliyor.
Acil Alınan Tedbirler
Soclet, kötü amaçlı paketleri kaldırmak için depo yöneticileriyle birlikte çalışıyor. Geliştiricilerin şimdi bağımlılıklarını denetlemeleri gerekiyor. Trapdoor, meşru kod güncellemelerinde gizlendiği için henüz bir yama mevcut değil. Sonraki 48 saat, takımların boru hatlarını ne kadar hızlı temizleyebileceğini test edecek.
