Kripto Para Cüzdanlarını Hedef Alan Kötü Amaçlı Yazılım Saldırısı: Ethereum, XRP ve Solana Tehlikede!

Siber güvenlik araştırmacıları, Ethereum, XRP ve Solana kullanıcılarını hedef alan bir kötü amaçlı yazılım kampanyası hakkında detayları paylaştı. Saldırı, Atomic ve Exodus cüzdan kullanıcılarını, ele geçirilmiş node package manager (NPM) paketleri aracılığıyla hedef alıyor.

Saldırı, geliştiricilerin farkında olmadan projelerine trojanize edilmiş npm paketlerini yüklemesiyle başlıyor. Araştırmacılar, "pdf-to-office" adlı, meşru görünen ancak gizli kötü amaçlı kod içeren bir paketi belirledi. Yüklendikten sonra, paket sistemde yüklü kripto para cüzdanlarını tarıyor ve işlemleri engelleyen kötü amaçlı kod enjekte ediyor. Araştırmacılar, bu kampanyanın kripto para kullanıcılarını hedef alan yazılım tedarik zinciri saldırılarında bir tırmanış olduğunu belirtiyor.

Kötü amaçlı yazılım, Ethereum (ETH), Tron tabanlı USDT, XRP (XRP) ve Solana (SOL) dahil olmak üzere birden fazla kripto para birimindeki işlemleri yönlendirebiliyor. ReversingLabs, şüpheli npm paketlerini analiz ederek kampanyayı tespit etti. Teknik incelemeleri, tespit edilmekten kaçınmak için gelişmiş gizleme teknikleri kullanan çok aşamalı bir saldırıyı ortaya koyuyor. Enfeksiyon süreci, kötü amaçlı paketin sistemde yüklü olan cüzdan yazılımını hedef alan yükünü çalıştırmasıyla başlıyor.

Kötü amaçlı yazılım, işlem işleme kodunu, meşru cüzdan adreslerini saldırgan kontrolündeki adreslerle değiştirmek için değiştiriyor. Örneğin, bir kullanıcı ETH göndermeye çalıştığında, kod alıcı adresini bir base64 dizesinden çözülen bir saldırgan adresiyle değiştiriyor. Bu kötü amaçlı yazılımın etkisi trajik olabilir, çünkü cüzdan arayüzünde işlemler normal görünürken, fonlar saldırganlara gönderiliyor. Kullanıcılar, blockchain işlemini doğrulayana ve fonların beklenmedik bir adrese gittiğini keşfedene kadar işlemlerinin tehlikeye girdiğine dair hiçbir görsel göstergeye sahip değiller.