TrapDoor Tedarik Zinciri: npm/PyPI/Crates.io'da 34 Paket, 384 Sürüm, AI Asistanlarına Prompt Injection

TrapDoor kampanyası, npm, PyPI ve Crates.io paket depolarında 34 zararlı paket ve 384 sürüm yayımlayarak geliştiricileri ve DevOps ekiplerini hedef alan kapsamlı bir tedarik zinciri saldırısıdır. Kampanya; SSH anahtarları, bulut kimlik bilgileri (AWS, GCP, Azure), kripto cüzdan verileri ve API token'larını çalmak üzere tasarlanmış çok katmanlı bir yapı kullanmaktadır. Çalınan veriler Fernet simetrik şifreleme algoritmasıyla korunarak GitHub Pages ve webhook uç noktaları aracılığıyla saldırganların kontrolündeki altyapıya sızdırılmaktadır. Kampanyanın üç farklı ekosistemi aynı anda hedef alması ve yüzlerce sürüm yayımlaması, tespit edilme olasılığını düşürmeye yönelik bilinçli bir operasyonel güvenlik anlayışını ortaya koymaktadır.

Teknik mekanizma açısından kampanya birkaç farklı varyant içermektedir. Python (PyPI) ve JavaScript (npm) varyantları, kurulum sonrasında geliştirici ortamındaki hassas dosyaları tarayarak Fernet ile şifrelenmiş yükler oluşturmakta ve bunları GitHub Pages statik barındırma altyapısı ile HTTP webhook'lar aracılığıyla dışarı aktarmaktadır. npm varyantı `token-usage-tracker`, bunlara ek olarak `~/.bashrc`, `~/.zshrc` gibi shell konfigürasyon dosyalarına kalıcılık sağlamak amacıyla arka kapı satırları eklemektedir. Aynı zamanda `.cursorrules` ve `CLAUDE.md` dosyalarına kötü amaçlı talimatlar yazarak Cursor ve Claude gibi AI kodlama asistanlarına prompt injection saldırısı gerçekleştirmekte; bu sayede asistanın gelecekte oluşturacağı kodlara zararlı davranışlar entegre edilebilmektedir. Rust ekosistemini hedef alan `sui-framework-helpers` paketi ise XOR gizleme tekniğini kullanarak Sui, Solana ve Aptos blok zinciri cüzdan verilerini ele geçirmektedir: ``` # Fernet şifreleme akışı (örnek) from cryptography.fernet import Fernet key = Fernet.generate_key() cipher = Fernet(key) encrypted_data = cipher.encrypt(stolen_credentials) # Veri → GitHub Pages / Webhook endpoint ```

Etkilenen ekosistemler ve kapsam değerlendirildiğinde, üç büyük paket deposunun (npm, PyPI, Crates.io) eş zamanlı hedef alındığı görülmektedir. 34 zararlı paketin 384 sürüm olarak yayımlanması, saldırganların semver (semantic versioning) mekanizmasını kötüye kullanarak her sürümü bağımsız bir dağıtım vektörü olarak kullandığına işaret etmektedir. Özellikle Web3 geliştirme ekosistemi (Sui, Solana, Aptos) ile AI destekli geliştirme ortamları (Cursor, Claude) birincil hedef konumundadır; bu durum kampanyanın fintech, kripto finans ve yapay zeka tabanlı yazılım geliştirme süreçlerine ciddi risk oluşturduğunu göstermektedir. Geliştiricilerin otomatik bağımlılık güncellemesi kullanan CI/CD pipeline'ları özellikle savunmasız konumdadır.

Kampanyanın AI asistanlarına yönelik prompt injection bileşeni, tedarik zinciri saldırılarının evriminde kritik bir dönüm noktasını temsil etmektedir. `.cursorrules` ve `CLAUDE.md` dosyaları, AI kodlama asistanlarının davranışını yönlendirmek için tasarlanmış konfigürasyon dosyalarıdır; bu dosyalara enjekte edilen talimatlar, asistanın ürettiği her yeni kod parçasına zararlı mantık ekleyebilmekte ya da kimlik bilgisi sızdırma rutinleri yerleştirebilmektedir. Bu TTP, klasik tedarik zinciri saldırısının ötesine geçerek geliştirici araç setinin kendisini bir kalıcılık ve yayılma vektörüne dönüştürmektedir. Gelecekte üretilen tüm kod çıktılarının zehirlenebildiği bu yaklaşım, hem kod inceleme süreçlerini hem de statik analiz araçlarını atlatma potansiyeli taşımaktadır.

Finans sektörü ve kripto/DeFi alanında faaliyet gösteren kurumlar için risk özellikle yüksektir: bulut ortamlarına erişim sağlayan API token'larının ve HSM/vault kimlik bilgilerinin çalınması, doğrudan mali kayıplara ve düzenleyici ihlallere yol açabilir. Türkiye ve Orta Doğu'daki fintech şirketleri, Web3 geliştirme ekiplerinin aktif olarak bu ekosistemlerden paket kullandığı göz önüne alındığında, ekiplerinin kurulu bağımlılık listelerini (SBOM) ivediyle denetlemesi gerekmektedir.