ٹریپ ڈور پیکج حملے میں سولانا، سوئی اور اپٹوس والیٹ ڈیٹا کو نشانہ بنایا گیا۔

ایک نئی کرپٹو چوری مہم ان ڈویلپرز کو نشانہ بنا رہی ہے جن کا زیادہ تر امکان ہے کہ ان کی مشینوں پر بٹوے کی چابیاں، کلاؤڈ اسناد اور پروڈکشن تک رسائی ہو۔

سیکیورٹی فرم ساکٹ کے محققین نے اس ہفتے کے اوائل میں کہا کہ انہوں نے سپلائی چین اٹیک کی نشاندہی کی جسے TrapDoor کہا جاتا ہے جو تین بڑے اوپن سورس پروگرامنگ رجسٹریوں میں پھیلے ہوئے ہیں، جس میں 34 سے زیادہ بدنیتی پر مبنی پیکجز اور سینکڑوں متعلقہ ورژن اور نمونے ہیں۔

ایک اہم راستہ یہ ہے کہ حملہ آور زیادہ توجہ مرکوز کر رہے ہیں۔ سوشل انجینئرنگ کے علاوہ، جو اہم معلومات رکھنے والے افراد کو نشانہ بناتی ہے، سپلائی چین حملے بے ترتیب خوردہ صارفین کو نہیں بلکہ ڈویلپرز کو پکڑنے کے لیے بنائے گئے ہیں۔ یہ وہی لوگ ہیں جن کے پاس والیٹ فائلیں، SSH کیز، GitHub ٹوکنز، کلاؤڈ اسناد اور پیداوار تک رسائی اسی مشین پر ہو سکتی ہے جسے وہ کرپٹو اور AI ٹولز بنانے کے لیے استعمال کرتے ہیں۔

ساکٹ نے متاثرین یا چوری شدہ فنڈز کی شناخت نہیں کی، لیکن کہا کہ پیکجز npm، PyPI اور Crates.io پر لائیو تھے اور ان میں ایسے پے لوڈز ہیں جو والیٹ کا ڈیٹا چوری کر سکتے ہیں، اسناد کو نکال سکتے ہیں، AWS اور GitHub ٹوکنز کی جانچ کر سکتے ہیں اور رسائی کو فعال رکھنے کے لیے فائلوں کو پیچھے چھوڑ سکتے ہیں۔

JavaScript، Python اور Rust میں پروگرام کیے گئے پیکجوں کو ڈویلپر ہیلپرز، سیکیورٹی اسکینرز، والیٹ ٹولز، سولیڈیٹی یوٹیلیٹیز، AI پرامپٹ پیکجز اور Sui or Move build Helpers کے طور پر بھیس دیا گیا تھا۔

ڈیزائن کے لحاظ سے بورنگ

نام ڈیزائن کے لحاظ سے بورنگ تھے۔ پیکجز کا نام "والٹ-سیکیورٹی-چیکر،" "ڈیفی-رسک-سکینر،" "سولیڈیٹی-بلڈ-گارڈ،" "موو کمپائلر-ٹولز" اور "ایل ایم-سیاق و سباق-کمپریسر" رکھا گیا تھا، اس قسم کی چھوٹی یوٹیلیٹیز کی طرح ایک کرپٹو یا AI ڈویلپر بغیر سوچے سمجھے انسٹال کر سکتا ہے۔

ایک بار انسٹال ہونے کے بعد، تاہم، پے لوڈز نے پیکیج ڈیٹا سے کہیں زیادہ کھینچنے کی کوشش کی۔

npm پیکجز میں، میلویئر نے پرائیویٹ کیز، پاس ورڈز، GitHub ٹوکنز اور کلاؤڈ لاگ ان کے لیے ایک ڈویلپر کی مشین کو تلاش کیا۔ اس نے کچھ چوری شدہ اسناد کا بھی تجربہ کیا، SSH کیز کے ذریعے دوسرے سسٹمز میں جانے کی کوشش کی اور فائلوں کو پیچھے چھوڑ دیا جو انفیکشن کو متحرک رکھ سکتی تھیں۔

SSH کلیدیں لاگ ان فائلیں ہیں جنہیں ڈویلپر سرورز، کوڈ ریپوزٹریز اور دیگر مشینوں تک رسائی کے لیے استعمال کرتے ہیں۔ اگر چوری ہو جاتی ہے، تو وہ حملہ آور کو ایک سمجھوتہ شدہ لیپ ٹاپ سے کمپنی کے وسیع تر انفراسٹرکچر میں جانے دے سکتے ہیں۔

اس حملے میں .cursorrules اور claude.md جیسی فائلیں بھی استعمال ہوتی ہیں، جو ڈویلپرز کو AI کوڈنگ ٹولز کو پروجیکٹ کے لیے مخصوص ہدایات دینے کی اجازت دیتی ہیں۔ ساکٹ نے کہا کہ مہم نے صفر چوڑائی کے یونیکوڈ حروف کا استعمال کرتے ہوئے پوشیدہ ہدایات لگائی ہیں، بظاہر مستقبل کے AI اسسٹنٹ سیشنز کو جعلی "سیکیورٹی اسکینز" چلانے کی کوشش کر رہے ہیں جو راز کو اکٹھا کرتے ہیں اور ان سے پردہ اٹھاتے ہیں۔

اس نے ایک عام پیکج چوری کرنے والے حملے کو ڈویلپر-ماحولیاتی میلویئر کے قریب کسی چیز میں بدل دیا۔ پیکیج انسٹال صرف پہلا قدم ہے، جس کا اصل ہدف ورک سٹیشن ہے، جیسے بٹوے، ریپوز، براؤزر ڈیٹا، کلاؤڈ کیز، SSH رسائی اور جو بھی AI کوڈنگ ٹولز آگے پڑھتے ہیں۔

Rust پیکجوں نے تالیف کے دوران چلانے کے لیے نقصان دہ build.rs اسکرپٹس کا استعمال کیا، سوئی اور موو ڈویلپرز کو نشانہ بنایا۔ PyPI پیکجوں نے ریموٹ جاوا اسکرپٹ کو درآمد کرنے پر عمل میں لایا۔ npm پر پیکجز پوسٹ انسٹال ہکس استعمال کرتے ہیں۔

ساکٹ نے کہا کہ اس نے پیکیجز کی اطلاع متاثرہ رجسٹریوں کو دی اور مہم کے پیکجوں کو بدنیتی پر مبنی قرار دیا۔ کمپنی نے یہ بھی متنبہ کیا کہ حملہ آور نے AI اور ڈویلپر پروجیکٹس کے لیے پل کی درخواستیں کھولیں، عام اوپن سورس شراکت کے راستوں کے ذریعے .cursorrules اور CLAUDE.md فائلوں کو شامل کرنے کی کوشش کی۔