Kötü NPM Paketinin Özel Anahtarları Çalması Sonucu Solana Kullanıcıları Varlıklarının Çalınması Olayının Analizi
2025 yılının Temmuz ayının başında, Solana kullanıcılarına yönelik bir varlık hırsızlığı olayı güvenlik ekibinin dikkatini çekti. Bir mağdur, GitHub'da barındırılan açık kaynak projesini kullanmasının ardından, kripto varlıklarının çalındığını fark etti. Derinlemesine bir araştırmanın ardından, güvenlik ekibi titizlikle tasarlanmış bir saldırı zincirini ortaya çıkardı.
Saldırganlar, meşru bir açık kaynak projesi gibi görünerek kullanıcıları kötü niyetli kod içeren bir Node.js projesini indirmeye ve çalıştırmaya ikna ediyor. "solana-pumpfun-bot" adı verilen bu proje yüzeyde oldukça popüler görünüyor ve yüksek sayıda Star ve Fork'a sahip. Ancak, kod gönderim geçmişi olağan dışı bir model sergiliyor ve sürekli güncelleme özelliklerinden yoksun.
Daha fazla analiz, projenin "crypto-layout-utils" adlı şüpheli bir üçüncü taraf pakete bağımlı olduğunu ortaya koydu. Bu paket NPM resmi olarak kaldırılmıştır, ancak saldırganlar package-lock.json dosyasını değiştirerek indirme bağlantısını kendi kontrolündeki GitHub depo adresi ile değiştirmiş ve kötü amaçlı kodları dağıtmaya devam etmiştir.
Bu yüksek derecede karmaşık kötü amaçlı paketi analiz eden güvenlik ekibi, işlevinin kullanıcı bilgisayarındaki hassas dosyaları taramak olduğunu, özellikle de kripto cüzdanları ve Özel Anahtar ile ilgili içerikleri hedef aldığını doğrulamıştır. Hedef dosya bulunduğunda, bu dosya saldırganın kontrolündeki sunucuya yüklenecektir.
Saldırganlar, proje güvenilirliğini artırmak ve kurban alanını genişletmek için çoklu hesap işbirliği stratejisi benimsedi ve çok sayıda Fork ve Star işlemi gerçekleştirdi. "crypto-layout-utils" dışında, bu saldırıya katılan başka bir kötü amaçlı paket olan "bs58-encrypt-utils" de keşfedildi.
Çalınan fonların akışını izlemek için zincir üstü analiz araçlarını kullanarak, bazı fonların bir borsa platformuna aktarıldığını keşfettik.
Bu olay, açık kaynak topluluğunun karşılaştığı güvenlik zorluklarını vurgulamaktadır. Saldırganlar, kullanıcıların GitHub projelerine olan güvenini kullanarak, sosyal mühendislik ve teknik yöntemlerle karmaşık bir saldırı gerçekleştirmiştir. Geliştiriciler ve kullanıcılar için, kripto varlıklarla ilgili projeleri ele alırken son derece dikkatli olmak hayati önem taşımaktadır. Bilinmeyen kaynaklardan gelen kodları izole bir ortamda test etmeleri ve projelerin gerçekliği ile güvenilirliğine her zaman dikkat etmeleri önerilmektedir.
Bu olay, birden fazla kötü niyetli GitHub deposu ve NPM paketini içermektedir. Güvenlik ekibi, topluluğun referansı ve önlemesi için ilgili bilgileri listelemiştir. Bu tür bir saldırı yönteminin gizliliği ve aldatıcılığı son derece yüksektir, bu da yeni projeleri keşfederken daha dikkatli olmamız gerektiğini hatırlatıyor, özellikle hassas işlemler söz konusu olduğunda.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
6
Share
Comment
0/400
MidnightSeller
· 4h ago
Bir dahaki sefere dikkatlice bak, enayileri biçeceksin.
Kötü niyetli NPM paketleri Solana Özel Anahtarını çalıyor, Açık Kaynak projeleri tehlikeler barındırıyor.
Kötü NPM Paketinin Özel Anahtarları Çalması Sonucu Solana Kullanıcıları Varlıklarının Çalınması Olayının Analizi
2025 yılının Temmuz ayının başında, Solana kullanıcılarına yönelik bir varlık hırsızlığı olayı güvenlik ekibinin dikkatini çekti. Bir mağdur, GitHub'da barındırılan açık kaynak projesini kullanmasının ardından, kripto varlıklarının çalındığını fark etti. Derinlemesine bir araştırmanın ardından, güvenlik ekibi titizlikle tasarlanmış bir saldırı zincirini ortaya çıkardı.
Saldırganlar, meşru bir açık kaynak projesi gibi görünerek kullanıcıları kötü niyetli kod içeren bir Node.js projesini indirmeye ve çalıştırmaya ikna ediyor. "solana-pumpfun-bot" adı verilen bu proje yüzeyde oldukça popüler görünüyor ve yüksek sayıda Star ve Fork'a sahip. Ancak, kod gönderim geçmişi olağan dışı bir model sergiliyor ve sürekli güncelleme özelliklerinden yoksun.
Daha fazla analiz, projenin "crypto-layout-utils" adlı şüpheli bir üçüncü taraf pakete bağımlı olduğunu ortaya koydu. Bu paket NPM resmi olarak kaldırılmıştır, ancak saldırganlar package-lock.json dosyasını değiştirerek indirme bağlantısını kendi kontrolündeki GitHub depo adresi ile değiştirmiş ve kötü amaçlı kodları dağıtmaya devam etmiştir.
Bu yüksek derecede karmaşık kötü amaçlı paketi analiz eden güvenlik ekibi, işlevinin kullanıcı bilgisayarındaki hassas dosyaları taramak olduğunu, özellikle de kripto cüzdanları ve Özel Anahtar ile ilgili içerikleri hedef aldığını doğrulamıştır. Hedef dosya bulunduğunda, bu dosya saldırganın kontrolündeki sunucuya yüklenecektir.
Saldırganlar, proje güvenilirliğini artırmak ve kurban alanını genişletmek için çoklu hesap işbirliği stratejisi benimsedi ve çok sayıda Fork ve Star işlemi gerçekleştirdi. "crypto-layout-utils" dışında, bu saldırıya katılan başka bir kötü amaçlı paket olan "bs58-encrypt-utils" de keşfedildi.
Çalınan fonların akışını izlemek için zincir üstü analiz araçlarını kullanarak, bazı fonların bir borsa platformuna aktarıldığını keşfettik.
Bu olay, açık kaynak topluluğunun karşılaştığı güvenlik zorluklarını vurgulamaktadır. Saldırganlar, kullanıcıların GitHub projelerine olan güvenini kullanarak, sosyal mühendislik ve teknik yöntemlerle karmaşık bir saldırı gerçekleştirmiştir. Geliştiriciler ve kullanıcılar için, kripto varlıklarla ilgili projeleri ele alırken son derece dikkatli olmak hayati önem taşımaktadır. Bilinmeyen kaynaklardan gelen kodları izole bir ortamda test etmeleri ve projelerin gerçekliği ile güvenilirliğine her zaman dikkat etmeleri önerilmektedir.
Bu olay, birden fazla kötü niyetli GitHub deposu ve NPM paketini içermektedir. Güvenlik ekibi, topluluğun referansı ve önlemesi için ilgili bilgileri listelemiştir. Bu tür bir saldırı yönteminin gizliliği ve aldatıcılığı son derece yüksektir, bu da yeni projeleri keşfederken daha dikkatli olmamız gerektiğini hatırlatıyor, özellikle hassas işlemler söz konusu olduğunda.