TrapDoor Kripto ve Yapay Zeka Geliştiricilerini Hedef Alıyor: Tedarik Zinciri Saldırısı Tehlikesi

Güvenlik araştırmacıları, 'TrapDoor' olarak adlandırılan yeni bir kötü amaçlı yazılım kampanyasının, kripto ve yapay zeka (YZ) geliştiricilerini hedef aldığını ortaya çıkardı. Bu saldırı, geliştirici paketleri aracılığıyla yayılıyor ve kullanıcıların cüzdan verilerini, API anahtarlarını, bulut kimlik bilgilerini ve SSH erişimini çalmayı amaçlıyor. Saldırı, npm, PyPI ve Rust ekosistemlerinde 34'ten fazla zararlı paket ve 384 bağlantılı sürüm aracılığıyla yayılmış durumda.

Saldırganlar, kripto para birimi, merkeziyetsiz finans (DeFi), yapay zeka ve güvenlik altyapısı alanlarında çalışan geliştiricileri hedef alıyor. Hedeflenen hizmetler arasında Coinbase, Binance, MetaMask ve Brave gibi cüzdanlar ve platformların yanı sıra Solana, Sui ve Aptos gibi blok zinciri ekosistemleri de bulunuyor. TrapDoor, aynı zamanda Claude ve Cursor gibi YZ kodlama asistanlarını, gizli istemleri geliştirme iş akışlarına enjekte ederek manipüle etmeye çalışıyor.

Socket'in raporuna göre, saldırganlar, sırları açığa çıkaran ve bunları operatörlere ileten sahte "güvenlik taramaları" çalıştırmaya YZ araçlarını itiyor gibi görünüyor. Zararlı paketler, proje kurulum araçları, model yönlendirme yazılımları, Solidity çerçeveleri, istem mühendisliği paketleri ve Sui ve Move tabanlı uygulamalar için yapı yardımcısı gibi yaygın geliştirme yardımcıları olarak gizlenmişti. Bu paketler, geliştiricilerin şüpheli davranışları fark etmeden normal iş akışları sırasında yükleyebileceği yazılımlara benziyor.

GitHub depoları da YZ destekli geliştirme faaliyetlerine dair işaretler gösteriyor. Ayrıca, GitHub'ın bir çalışanın cihazının tehlikeye girmesi sonucu yetkisiz kişilerin dahili depolara eriştiğini duyurduğu belirtiliyor. Bu saldırı, güvenilir iş yeri araçları ve profesyonel iletişim kanalları aracılığıyla kripto geliştiricilerini hedef alan artan bir saldırı modelini takip ediyor.

Geçtiğimiz ay, Elastic Security Labs araştırmacıları, Obsidian not alma uygulamasını kullanarak kripto para birimi ve finans profesyonellerine PHANTOMPULSE adlı bir kötü amaçlı yazılım bulaştıran ayrı bir operasyonu detaylandırdı. Önceki Nisan ayında, blockchain güvenlik firması CertiK, Kuzey Kore bağlantılı Lazarus Group operatörlerinin, macOS cihazlarındaki kripto yöneticilerine ve fintech çalışanlarına "Mach-O Man" kötü amaçlı yazılımını ulaştırmak için sahte Zoom toplantıları, ele geçirilmiş Telegram hesapları ve ClickFix tarzı sosyal mühendislik taktikleri kullandığı konusunda uyardı.

Sonuç olarak, yazılım tedarik zincirleri, işbirliği uygulamaları, YZ geliştirme araçları ve açık kaynak depolarının, geliştiricilerin rutin olarak yüksek sistem izinleriyle üçüncü taraf paketler ve eklentiler yüklemesi nedeniyle, kripto odaklı saldırılar için ortak giriş noktaları haline geldiği uyarısı yapılıyor.