Siber güvenlik şirketi Socket, yazılım geliştiricilere yönelik yeni bir tehdit olan TrapDoor isimli kötü amaçlı yazılım operasyonunu tespit etti. Bu zararlı yazılım, kripto para ve yapay zeka projeleri gibi alanlarda çalışan geliştiricileri hedef alarak, popüler paket platformlarında yaygınlaştı. npm, PyPI ve Crates gibi platformlarda 34 farklı zararlı paket ve 384 versiyon bulundu.
Saldırının Hedefleri
Bu saldırı operasyonu özellikle kripto para cüzdanları, bulut altyapı yönetimi ve yapay zeka geliştirme alanlarında çalışan geliştiricileri hedef aldı. Hedef alınan platformlar arasında Coinbase, Binance ve MetaMask gibi popüler isimler yer alıyor.
Socket’in ekibi, bu yazılımın geliştirici topluluklarının sıkça kullandığı araçlar içine yayılarak birçok bilinen cüzdanı hedef aldığını belirtiyor.
Zararlı yazılım, hassas bilgileri ele geçirmeyi amaçlıyor. Özellikle cüzdan verileri, SSH anahtarları ve API yetkilendirme bilgileri gibi veriler tehlike altında bulunuyor. Geliştirici arayüzlerinde sıklıkla kullanılan bu paketler, maalesef detaylı güvenlik incelemesi yapılmadan indiriliyor.
Saldırı Yöntemi ve Araçlar
TrapDoor’u diğerlerinden ayıran özelliklerden biri, yapay zeka destekli geliştirici araçlarını manipüle etmesi. Özellikle Claude ve Cursor gibi araçlar, zararlı komutlarla yanıltılarak hassas bilgilerin saldırganlara aktarıldığı belirtildi. Bu yöntem, yapay zekanın güvenlik değerlendirmesi yapıyormuş gibi görünmesini sağlıyor.
Zararlı paketler, meşru geliştirici araçlarıyla benzer isimler taşıyarak geliştirici toplulukları arasına sızıyor. Blokzincir projelerinde kullanılan kütüphaneler ve başlangıç modülleri, bu strateji ile taklit edilerek geliştiricilere tuzak hazırlanıyor.
Dağıtım Süreci
TrapDoor operasyonu, npm, PyPI ve Crates gibi platformlarla sınırlı kalmayarak, sahte güvenlik çerçeveleri ve tuzak depolar üzerinden de yayılmaya devam ediyor. Socket, zararlı paketlerin en hızlı şekilde tespit edildiğini ve GitHub’ın dağıtımda önemli bir rol oynadığını bildirdi.
GitHub üzerinde 20 Mayıs’ta gerçekleşen bağımsız bir siber saldırı sonucu bir çalışanın bilgisayarına izinsiz erişim sağlandığı ortaya çıktı. Socket, bu saldırıyı herhangi bir grup veya örgütle doğrudan ilişkilendirmedi.
TrapDoor operasyonu hala devam etmekte ve faillerin kimliği henüz belirlenemedi. Bu olay, geliştirici topluluklarının bu tür zararlı yazılımlara karşı daha fazla dikkatli olması gerektiğini bir kez daha gösteriyor.
