Hackerlar, güvenilir bir npm hesabını çalmak ve popüler paketler arasında zararlı kod yaymak için sahte web siteleri kullandı.
MetaMask ve Trust Wallet gibi kripto cüzdanları, enfekte JavaScript kütüphanelerini kullanmaları durumunda risk altında olabilir.
Kullanıcılar, uygulamaları npm aracılığıyla son güncellemelerini aldıysa, işlemleri imzalamayı durdurmalı ve tüm paketleri kontrol etmelidir.
Büyük bir tedarik zinciri saldırısı, yaygın olarak güvenilen bir npm JavaScript hesabını tehlikeye attı. Araştırmacılar, kötü niyetli kodun 18 popüler paketi zaten enfekte ettiğini doğruladılar. Bu paketler yalnızca geçen hafta içerisinde 2 milyardan fazla kez indirildi. Etkilenen paketler, kripto cüzdan adreslerini sessizce değiştirebilen kodlar içeriyor.
Bu saldırı, kullanıcıların bilgisi olmadan işlemleri başka yöne yönlendirmek için tasarlanmıştır. Kullanıcılar doğru görünen bir işlemi imzalasa bile, fonlar hala saldırgana gidebilir. JavaScript ekosistemi, bu paketlerin ne kadar derinlemesine entegre olduğu nedeniyle risk altındadır. Geliştiricilerin etkilenen bağımlılıkları hemen denetlemeleri ve kaldırmaları önemle tavsiye edilmektedir.
Kripto Cüzdanlar ve Ekosistemler Tehlikede
Saldırı, birçok tanınmış tarayıcı tabanlı ve masaüstü cüzdanı etkilemektedir. Örneğin: MetaMask, Trust Wallet ve Exodus. Donanım cüzdanları daha güvenli kalmaktadır, ancak kullanıcılar yine de işlem detaylarını dikkatlice doğrulamalıdır. Saldırgan, imzalama sürecinde kullanıcıları kandırmak için benzer cüzdan adresleri kullanmaktadır.
Sadece detaylı bir karakter bazında kontrol farkı görebilir. Çoğu kullanıcı, cüzdan adreslerinin yalnızca ilk ve son birkaç karakterini kontrol eder. Bu, onları adres değiştirme taktiklerine karşı savunmasız bırakır. Otomatik betikler ve akıllı sözleşmeler de, ele geçirilmiş kütüphanelere güveniyorlarsa tehlikededir.
Giriş Noktası, Kompromize Edilmiş Bir Geliştirici Hesabıydı
İhlal, saldırganların güvenilir bir npm bakımcısının hesabını ele geçirmesiyle başladı. Araştırmacılar bunun, kimlik avı ve sahte iki faktörlü kimlik doğrulama istemleri kullanılarak yapıldığını düşünüyor.
Son zamanlarda, siber güvenlik araştırmacıları, hackerların NPM paketleri aracılığıyla Ethereum akıllı sözleşmelerine zararlı yazılım gizlediğini, taramaları atlatmak ve ikinci aşama yükleri iletmek için blok zinciri URL'leri kullandığını fark ettiler. Saldırganlar, güvenilirliği artırmak için sahte taahhütler ve birden fazla hesapla sahte GitHub depoları oluşturdular. GitHub kullanıcıları, npm destek ekibinden geliyormuş gibi görünen şüpheli e-postalar bildirdiler.
Saldırgan, gerçek npm web sitesini taklit eden bir alan adı kullandı. Bu e-postalar, geliştiricileri oltalama bağlantılarına tıklamaya zorlamak için hesapları kilitleme tehdidinde bulundu. Hesap ele geçirildiğinde, birden fazla paketi kötü niyetli yüklerle güncellemek için kullanıldı. Bazı paketler daha sonra yamanmıştı, ancak diğerleri güvensiz kalmaya devam ediyor.
Güvenlik Uyarıları ve Geliştirici Yanıtı
Güvenlik ekipleri ve araştırmacılar, kullanıcıları şu an için zincir üstü faaliyetlerden kaçınmaları konusunda uyarıyor. Kripto kullanıcıları, tarayıcı cüzdanlarını devre dışı bırakmalı ve işlemleri geçici olarak imzalamaktan kaçınmalıdır. Henüz büyük kayıplar bildirilmedi, ancak riskler yüksek kalmaya devam ediyor.
Bazı DeFi platformları, Axiom ve Kamino dahil, enfekte paketleri kullanmadıklarını doğruladı. Yine de geliştiricilerin tüm bağımlılıkları kontrol etmeleri gerekiyor, özellikle de Chalk gibi popüler kütüphanelerle bağlantılı olanları. Bu tür bir güvenlik açığı, 2024'te Hacker'ların Lottie Player Java Script'i kullanarak 1inch gibi güvenilir DeFi sitelerinde cüzdanları tehlikeye attığı zaman da not edildi.
npm ekibi bilinen tehlikeye maruz kalmış sürümleri devre dışı bıraktı, ancak son güncellemeler hala riskler taşıyabilir. Saldırının tam boyutu bilinmemektedir. Daha fazla geliştirici hesabı benzer kimlik avı taktikleri kullanılarak hedef alınırsa tehdit genişleyebilir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Güvenilir NPM Hesabı, Kripto İşlemlerini ve Cüzdanları Tehdit Eden Kötü Amaçlı Kod Yaymak İçin Ele Geçirildi...
Hackerlar, güvenilir bir npm hesabını çalmak ve popüler paketler arasında zararlı kod yaymak için sahte web siteleri kullandı.
MetaMask ve Trust Wallet gibi kripto cüzdanları, enfekte JavaScript kütüphanelerini kullanmaları durumunda risk altında olabilir.
Kullanıcılar, uygulamaları npm aracılığıyla son güncellemelerini aldıysa, işlemleri imzalamayı durdurmalı ve tüm paketleri kontrol etmelidir.
Büyük bir tedarik zinciri saldırısı, yaygın olarak güvenilen bir npm JavaScript hesabını tehlikeye attı. Araştırmacılar, kötü niyetli kodun 18 popüler paketi zaten enfekte ettiğini doğruladılar. Bu paketler yalnızca geçen hafta içerisinde 2 milyardan fazla kez indirildi. Etkilenen paketler, kripto cüzdan adreslerini sessizce değiştirebilen kodlar içeriyor.
Bu saldırı, kullanıcıların bilgisi olmadan işlemleri başka yöne yönlendirmek için tasarlanmıştır. Kullanıcılar doğru görünen bir işlemi imzalasa bile, fonlar hala saldırgana gidebilir. JavaScript ekosistemi, bu paketlerin ne kadar derinlemesine entegre olduğu nedeniyle risk altındadır. Geliştiricilerin etkilenen bağımlılıkları hemen denetlemeleri ve kaldırmaları önemle tavsiye edilmektedir.
Kripto Cüzdanlar ve Ekosistemler Tehlikede
Saldırı, birçok tanınmış tarayıcı tabanlı ve masaüstü cüzdanı etkilemektedir. Örneğin: MetaMask, Trust Wallet ve Exodus. Donanım cüzdanları daha güvenli kalmaktadır, ancak kullanıcılar yine de işlem detaylarını dikkatlice doğrulamalıdır. Saldırgan, imzalama sürecinde kullanıcıları kandırmak için benzer cüzdan adresleri kullanmaktadır.
Sadece detaylı bir karakter bazında kontrol farkı görebilir. Çoğu kullanıcı, cüzdan adreslerinin yalnızca ilk ve son birkaç karakterini kontrol eder. Bu, onları adres değiştirme taktiklerine karşı savunmasız bırakır. Otomatik betikler ve akıllı sözleşmeler de, ele geçirilmiş kütüphanelere güveniyorlarsa tehlikededir.
Giriş Noktası, Kompromize Edilmiş Bir Geliştirici Hesabıydı
İhlal, saldırganların güvenilir bir npm bakımcısının hesabını ele geçirmesiyle başladı. Araştırmacılar bunun, kimlik avı ve sahte iki faktörlü kimlik doğrulama istemleri kullanılarak yapıldığını düşünüyor.
Son zamanlarda, siber güvenlik araştırmacıları, hackerların NPM paketleri aracılığıyla Ethereum akıllı sözleşmelerine zararlı yazılım gizlediğini, taramaları atlatmak ve ikinci aşama yükleri iletmek için blok zinciri URL'leri kullandığını fark ettiler. Saldırganlar, güvenilirliği artırmak için sahte taahhütler ve birden fazla hesapla sahte GitHub depoları oluşturdular. GitHub kullanıcıları, npm destek ekibinden geliyormuş gibi görünen şüpheli e-postalar bildirdiler.
Saldırgan, gerçek npm web sitesini taklit eden bir alan adı kullandı. Bu e-postalar, geliştiricileri oltalama bağlantılarına tıklamaya zorlamak için hesapları kilitleme tehdidinde bulundu. Hesap ele geçirildiğinde, birden fazla paketi kötü niyetli yüklerle güncellemek için kullanıldı. Bazı paketler daha sonra yamanmıştı, ancak diğerleri güvensiz kalmaya devam ediyor.
Güvenlik Uyarıları ve Geliştirici Yanıtı
Güvenlik ekipleri ve araştırmacılar, kullanıcıları şu an için zincir üstü faaliyetlerden kaçınmaları konusunda uyarıyor. Kripto kullanıcıları, tarayıcı cüzdanlarını devre dışı bırakmalı ve işlemleri geçici olarak imzalamaktan kaçınmalıdır. Henüz büyük kayıplar bildirilmedi, ancak riskler yüksek kalmaya devam ediyor.
Bazı DeFi platformları, Axiom ve Kamino dahil, enfekte paketleri kullanmadıklarını doğruladı. Yine de geliştiricilerin tüm bağımlılıkları kontrol etmeleri gerekiyor, özellikle de Chalk gibi popüler kütüphanelerle bağlantılı olanları. Bu tür bir güvenlik açığı, 2024'te Hacker'ların Lottie Player Java Script'i kullanarak 1inch gibi güvenilir DeFi sitelerinde cüzdanları tehlikeye attığı zaman da not edildi.
npm ekibi bilinen tehlikeye maruz kalmış sürümleri devre dışı bıraktı, ancak son güncellemeler hala riskler taşıyabilir. Saldırının tam boyutu bilinmemektedir. Daha fazla geliştirici hesabı benzer kimlik avı taktikleri kullanılarak hedef alınırsa tehdit genişleyebilir.