TrapDoor hücumu npm, PyPI və Crates.io-da genişlənir

Açıq mənbə təchizat zənciri yeni mərhələyə keçib: TrapDoor kimi tanınan əməliyyat npm, PyPI və Crates.io üzərindən yayılan zərərli paketlər vasitəsilə inkişaf etdiricilərin etimad məlumatlarını hədəfə alıb. Məlumat sızmasının miqyası təkcə fərdi hesablarla məhdudlaşmır, çünki bu cür paketlər korporativ kod bazalarına, build proseslərinə və bulud mühitlərinə də yol tapa bilir. Bildirilən paketlərin sayı 36-ya çatır.

Söhbət sırf zərərli koddan deyil, proqram təminatı yüklənərkən və ya idxal olunarkən işə düşə bilən mexanizmlərdən gedir. Bu yanaşma hücumu daha təhlükəli edir, çünki o, inkişaf etdiricinin gündəlik iş axınına qarışır və etibarlı görünən asılılıqlar vasitəsilə giriş əldə etməyə çalışır. Məqsədin parollar, SSH açarları, kripto cüzdanları və bulud məlumatları olduğu bildirilir.

Hadisə açıq mənbə ekosistemlərində etibar modelinin nə qədər həssas olduğunu bir daha göstərir. Bir neçə paket anbarı üzərindən paralel yayılma çoxbulud və çoxasılılıqlı korporativ mühitlər üçün əlavə risk yaradır, çünki inkişaf qrupları fərqli registrlərə və paket mənbələrinə güvənir. Nəticədə təhlükəsizlik yalnız endpoint səviyyəsində deyil, həm də təchizat zənciri nəzarəti, identifikasiya və asılılıq idarəçiliyi səviyyəsində qurulmalıdır.

CVE-2025-10894 kimi qeyd olunan bu hadisə 9.6 CVSS balı ilə kritik kateqoriyaya daxil edilib. Mənbədə rəsmi düzəlişdən bəhs olunmur, buna görə operativ cavab daha çox hesabların qorunması, girişlərin monitorinqi və gözlənilməz tətbiq davranışlarının yoxlanması üzərində dayanır. Belə insidentlər proqram təminatı istehsal edən şirkətlər üçün yalnız təhlükəsizlik deyil, əməliyyat davamlılığı məsələsinə də çevrilir.