Kritik Kripto Tedarik Zinciri Saldırısı: Sahte Web Siteleri ile Hesap Çalındı ve Zararlı Kodlar Yayılıyor

Kapsamlı bir kripto para tedarik zinciri saldırısı, güvenilir bir npm JavaScript hesabını ele geçirdi. Araştırmacılar, zararlı kodun halihazırda 18 popüler pakete bulaştığını doğruladı. Bu paketler yalnızca geçen hafta 2 milyardan fazla kez indirildi. Etkilenen paketler, kripto cüzdan adreslerini sessizce değiştirebilen kodlar içeriyor.

Saldırının Detayları: Saldırı, kullanıcıların bilgisi olmadan işlemleri yönlendirmeyi amaçlıyor. Kullanıcılar doğru görünen bir işlemi imzalasa bile, fonlar saldırgana gidebilir. JavaScript ekosistemi, bu paketlerin ne kadar derinlemesine entegre olduğu düşünüldüğünde büyük bir risk altında. Geliştiriciler, etkilenen bağımlılıkları derhal denetlemeye ve kaldırmaya çağrılıyor.

Risk Altındaki Kripto Cüzdanları ve Ekosistemler: Saldırı, MetaMask, Trust Wallet ve Exodus gibi birçok tanınmış tarayıcı tabanlı ve masaüstü cüzdanı etkiliyor. Donanım cüzdanları daha güvenli kalmaya devam ediyor ancak kullanıcıların işlem ayrıntılarını yakından doğrulaması gerekiyor. Saldırgan, imzalama işlemi sırasında kullanıcıları kandırmak için benzer görünümlü cüzdan adresleri kullanıyor. Yalnızca karakter karakter ayrıntılı bir kontrol farkı belirleyebilir. Çoğu kullanıcı, cüzdan adreslerinin yalnızca ilk ve son birkaç karakterini kontrol eder. Bu, onları adres değiştirme taktiklerine karşı savunmasız bırakır. Otomatikleştirilmiş komut dosyaları ve akıllı sözleşmeler de, tehlikeye girmiş kitaplıklara güveniyorlarsa risk altındadır.

Saldırının Başlangıç Noktası: Saldırı, saldırganların güvenilir bir npm geliştiricisinin hesabını kontrol altına almasıyla başladı. Araştırmacılar, bunun kimlik avı ve sahte iki faktörlü kimlik doğrulama istemleri kullanılarak yapıldığına inanıyor. Siber güvenlik araştırmacıları, son zamanlarda, bilgisayar korsanlarının NPM paketleri aracılığıyla Ethereum akıllı sözleşmelerine kötü amaçlı yazılımlar gizlediğini ve taramaları atlamak ve ikinci aşama yükleri sağlamak için blok zinciri URL'lerini kullandığını fark etti. Saldırganlar, güvenilirliği artırmak için sahte taahhütler ve çoklu hesaplarla sahte GitHub depoları oluşturdu. GitHub kullanıcıları, npm destek ekibinden geliyormuş gibi görünen şüpheli e-postalar bildirdi. Saldırgan, gerçek npm web sitesini taklit eden bir alan adı kullandı. Bu e-postalar, geliştiricileri kimlik avı bağlantılarını tıklamaya zorlamak için hesapları kilitlemekle tehdit ediyordu. Hesabın ele geçirilmesinden sonra, birden fazla paketi kötü amaçlı yüklerle güncellemek için kullanıldı. Bazı paketler daha sonra düzeltildi, ancak diğerleri hala güvenli değil.

Güvenlik Uyarıları ve Geliştirici Tepkisi: Güvenlik ekipleri ve araştırmacılar, kullanıcılara şimdilik zincir üstü faaliyetlerden kaçınmalarını tavsiye ediyor. Kripto kullanıcıları, tarayıcı cüzdanlarını devre dışı bırakmalı ve geçici olarak işlem imzalamayı durdurmalıdır. Henüz büyük kayıplar bildirilmedi ancak riskler yüksek kalmaya devam ediyor. Axiom ve Kamino dahil olmak üzere bazı DeFi platformları, etkilenen paketleri kullanmadıklarını doğruladı. Yine de, geliştiricilerin, özellikle Chalk gibi popüler kitaplıklara bağlı olanlar olmak üzere, tüm bağımlılıkları kontrol etmesi gerekiyor.

Sonuç: Bu tür bir güvenlik açığı, 2024'te bilgisayar korsanlarının Lottie Player Java Script'ini istismar ederek 1inch gibi güvenilir DeFi sitelerindeki cüzdanları tehlikeye atmasıyla da fark edilmişti. npm ekibi, bilinen tehlikeye girmiş sürümleri devre dışı bıraktı ancak son güncellemeler hala risk taşıyabilir. Saldırının tam boyutu bilinmiyor. Daha fazla geliştirici hesabı benzer kimlik avı taktikleri kullanılarak hedeflenirse tehdit genişleyebilir.