Haberler 
Coin Bilgisi 
Hakkımızda 
‘TrapDoor’ adlı yeni bir saldırı kampanyası, kripto ‘cüzdan’ ve ‘şifre’ hırsızlığını bir adım öteye taşıyarak, geliştiricilerin kullandığı ‘yapay zeka kodlama asistanları’nı hedef aldı. Bu kampanya ile saldırganların, geliştirici cihazlarındaki ‘hassas bilgiler’i toplayıp kripto cüzdanlardan bulut erişimlerine kadar geniş bir alanda veri çalmaya çalıştığı ortaya çıktı. Özellikle kripto cüzdanlar, bulut kimlik bilgileri ve GitHub erişim jetonları gibi kritik verilerin hedef alınması, geliştirici ekosistemi genelinde ciddi bir ‘güvenlik uyarısı’ olarak değerlendiriliyor.
Güvenlik şirketi Socket’e göre, bu kampanyada saldırganlar Claude ve Cursor gibi ‘yapay zeka tabanlı geliştirme araçları’nı kandıracak şekilde tasarlanmış komutlar kullandı. Bu komutlar, normal bir ‘güvenlik taraması’ ya da kod kontrolü gibi görünürken, aslında cihaz içindeki ‘gizli anahtarlar’ ve ‘hassas değerler’in sessizce dışarıya sızdırılmasını sağlıyordu. Socket bu etkinliği 24’ünde (yerel saatle) tespit etti ve birkaç gün süren analizin ardından ayrıntılı bulgularını kamuoyuyla paylaştı.
Socket’in incelemesine göre şu ana kadar tespit edilen zararlı paket sayısı 34’ü, bunlara ait sürüm sayısı ise 384’ü buldu. Saldırganlar, npm, PyPI ve Crates gibi ‘popüler paket depoları’na ardı ardına güncellemeler yükleyerek, kötü amaçlı kodun yayılım alanını sistematik biçimde genişletti. ‘Yazılım tedarik zinciri’ne yönelik bu yaklaşım, tek bir güvenlik açığının çok sayıda projeye aynı anda bulaşmasına zemin hazırlıyor.
TrapDoor kampanyasının hedef listesi oldukça geniş. Coinbase, Binance gibi büyük borsalarda kullanılan kripto cüzdan verilerinin yanı sıra, Solana(SOL), Sui(SUI), Aptos(APT), MetaMask gibi ‘cüzdan ve blokzincir ekosistemi’ bileşenleri de hedefler arasında yer aldı. Ayrıca Brave tarayıcı verileri, SSH anahtarları, ‘bulut hizmeti kimlik bilgileri’, GitHub erişim jetonları, tarayıcı eklenti verileri ve farklı platformlar için kullanılan ‘API anahtarları’ da çalınmak istenen veriler arasında sayıldı. yorum Bu kombinasyon, tek bir makinenin ele geçirilmesiyle hem kişisel fonlara hem de kurumsal altyapıya erişim sağlanabileceği anlamına geliyor. yorum
Socket, saldırganların paket adlarını da son derece dikkat çekmeyecek şekilde seçtiğini belirtiyor. Paketler, geliştirici yardım araçları, proje başlangıç şablonları, ‘prompt mühendisliği’ kütüphaneleri veya Solidity ve Sui(SUI) için ‘akıllı sözleşme geliştirme araçları’ gibi gösterilerek, rutin kurulum süreçlerinde şüphe çekmeden sistemlere girebilecek biçimde tasarlandı. Böylece, özellikle hızlı hareket eden ve yeni paketleri sıkça deneyen ‘kripto ve DeFi geliştiricileri’ sessizce hedef alınmış oldu.
Socket’in teknoloji başkanı Ahmad Nassri(Ahmad Nassri), kampanyanın arkasındaki aktörlerin GitHub üzerinde de etkin olduklarını ve birçok depoda ‘yapay zeka tarafından üretilmiş koda’ benzeyen izler bulduklarını ifade etti. Ona göre, yaygın biçimde kullanılan güvenlik şablonları, ‘yem olarak’ hazırlanmış depolar, yarım kalmış kod fikirleri ve tam anlamıyla çalışan zararlı bileşenler aynı ekosistem içinde karışık halde yer alıyor. Bu tablo, saldırganların sadece tek bir paket değil, bütün bir ‘geliştirme ekosistemini’ hedefleyen, uzun soluklu bir strateji izlediğini düşündürüyor.
Zamanlama da dikkat çekici. GitHub(GitHub), 20’sinde (yerel saatle) bazı dahili depolarına yetkisiz erişim sağlandığını duyurduktan kısa süre sonra TrapDoor kampanyasının izleri ortaya çıkarıldı. Olayın, bir çalışan cihazının enfeksiyonu ile başladığı açıklanmıştı. Bu yakın zamanlı gelişmeler, ‘kurumsal kod depoları’ ile ‘açık kaynak paket ekosistemi’ arasında daha sıkı bir ilişki kurulmaya çalışıldığını ve saldırı yüzeyinin genişlediğini gösteriyor.
Socket, TrapDoor’u özellikle kripto, DeFi, yapay zeka ve güvenlik odaklı geliştiricileri hedefleyen ‘örgütlü bir saldırı’ olarak değerlendiriyor. Bu topluluklar, doğası gereği cüzdan erişim anahtarları, bulut altyapı kimlik bilgileri ve proje sırları gibi ‘yüksek değerli hedefler’ ile çalışıyor. Bu nedenle tek bir zararlı paketin, hem bireysel geliştirici cihazlarına hem de bu geliştiricilerin bağlı olduğu şirket ve protokollere kadar uzanan zincirleme etkilere yol açabileceği uyarısı yapılıyor.
Sektörde yapay zeka destekli geliştirme araçlarının kullanımı hızla artarken, bu olay ‘yazılım tedarik zinciri saldırıları’nın ne kadar sofistike hale geldiğini yeniden hatırlatıyor. Özellikle kripto geliştiricilerinin, cüzdan ve anahtar yönetimini bulut erişim yetkileriyle birlikte yürüttüğü düşünüldüğünde, ‘paket kurulumu’ aşamasından itibaren çok daha sıkı bir denetim ve imza doğrulaması yapılması gerektiği vurgulanıyor. Sonuç olarak, TrapDoor kampanyası, hem yapay zeka araçlarının hem de kripto ekosisteminin, görünüşte masum görünen geliştirme paketleri üzerinden nasıl aynı anda hedef alınabildiğini göstererek, tüm geliştirici topluluğuna ‘tedarik zinciri güvenliği’ konusunda net bir uyarı gönderiyor.
Yorum 0