JavaScript Kütüphane Saldırısı: Tarihin En Büyük Tedarik Zinciri Saldırısı

Tarihin en büyük tedarik zinciri saldırısı olarak adlandırılan olayda, hackerlar yaygın olarak kullanılan JavaScript yazılım kütüphanelerini hedef aldı. Saldırganlar, milyonlarca uygulama tarafından kullanılan popüler JavaScript kütüphanelerine gizlice kötü amaçlı yazılım yerleştirdi. Bu yazılımın, kripto para cüzdan adreslerini değiştirerek ve işlemleri ele geçirerek kripto para çalmak için tasarlandığı belirtiliyor.

Saldırganlar, popüler kütüphaneler olan chalk, strip-ansi ve color-convert gibi paketlere sızdı. Bu kütüphaneler, sayısız projenin bağımlılık ağaçlarında derinlemesine gömülü küçük yardımcı programlardır. Bu kütüphaneler, her hafta bir milyardan fazla kez indiriliyor. Bu da, onları doğrudan yüklemeyen geliştiricilerin bile risk altında olabileceği anlamına geliyor.

Saldırganların, işlemler sırasında cüzdan adreslerini sessizce değiştiren bir tür kötü amaçlı yazılım olan kripto-clipper yerleştirdiği düşünülüyor. Güvenlik araştırmacıları, yazılım cüzdanlarına güvenen kullanıcıların özellikle savunmasız olabileceği konusunda uyardı. Ancak, her işlemi bir donanım cüzdanında onaylayanların korunduğu belirtiliyor. Kötü amaçlı yazılımın doğrudan anahtar kelimeleri çalmaya çalışıp çalışmadığı ise henüz belirsiz.

Bu, gelişmekte olan bir olay ve daha fazla bilgi elde edildikçe güncellemeler yapılacak.