TrapDoor kötü amaçlı yazılımı kripto geliştiricilerini hedefliyor

Socket güvenlik araştırma ekibinin tespitlerine göre "TrapDoor" adlı bir tedarik zinciri kampanyası, kripto, DeFi ve yapay zeka geliştirme ortamlarını hedef alarak geliştiricilerin makinelerine zararlı paketler dağıtıyor. Araştırma, saldırının npm, PyPI ve Crates.io gibi popüler paket depoları üzerinden yürütüldüğünü ve kısa sürede çok sayıda kötü amaçlı sürüm yayıldığını gösteriyor.

Araştırmada yer alan rakamlara göre operatörler en az 34 kötü amaçlı paket ve 300'ü aşkın ilişkili sürüm yayımladı; Socket 24 Mayıs 2026'da kampanyayı kamuoyuna duyurdu. Zararlı paketler, cüzdan anahtarları, Secure Shell (SSH) anahtarları, bulut servis erişim belirteçleri, GitHub token'ları, tarayıcı uzantısı verileri ve API anahtarlarını hedef alıyor. Socket'ın teknik incelemesine göre bazı paketler geliştirici iş akışına gizli talimatlar enjekte ederek yapay zeka kodlama asistanlarının (ör. Claude, Cursor) yanlış yönlendirilmesine çalışıyor ve sahte "güvenlik taraması" süreçleri aracılığıyla sırları açığa çıkarmayı amaçlıyor.

Bu tür tedarik zinciri saldırıları doğrudan borsa işlem verilerine hemen yansımayabilir, ancak geliştirici güvenini zedeleyerek projelerin maliyetlerini ve güvenlik harcamalarını artırabilir. Kripto projeleri için anahtarlar ve özel anahtarlar sızdırıldığında doğrudan fon kayıpları yaşanabiliyor; ayrıca Coinbase veya merkezi borsalarla ilişkili servisler üzerinden yaşanabilecek güvenlik olayları yatırımcı algısını etkileyebilir. Güvenlik araştırmaları paketlerin bazı sürümlerinin hızlıca kaldırıldığını, ancak altyapı ve hesap hesaplarının izinsiz erişime açık kaldığını raporluyor.

Geniş bağlamda TrapDoor, açık kaynak tedarik zinciri riskinin ve yapay zeka destekli kodlama araçlarının yeni bir saldırı yüzeyi haline geldiğinin altını çiziyor. Son dönemde tedarik zinciri saldırıları ve sahte paket yüklemeleri daha sık rapor edilirken, yapay zeka asistanlarına yönelik dolaylı talimat enjeksiyonları güvenlik topluluğunda yeni bir endişe konusu oldu. Regülatörler ve büyük platformlar paket depolarındaki kötü niyetli içeriklere karşı daha sıkı önlemler alıyor, ancak otomatik bağımlılık yüklemeleri hâlen risk oluşturuyor.

Analistler, geliştiricilerin derhal gizli anahtarları ve token'ları yenilemesi, yerel makinelerdeki gizli bilgileri minimize etmesi ve bağımlılıkları kurumsal tarama araçlarıyla doğrulamasını öneriyor. Kısa vadede bu tür kampanyaların tespitinin hızlanması beklenirken, uzun vadede yazılım tedarik zinciri güvenliğine yönelik araç ve prosedürlerin yaygınlaşacağı öngörülüyor. Kurumsal projeler için daha sıkı sürüm kontrolü, imzalama ve CI/CD ortamı izolasyonu öncelikli önlem olarak öne çıkıyor.