- —
- Haberler
- —
- Sahte Solana Trading Bot'u Kılığına Bürünmüş Kripto Hırsızlığı: GitHub'da Keşfedilen Zararlı Yazılım
Sahte Solana Trading Bot'u Kılığına Bürünmüş Kripto Hırsızlığı: GitHub'da Keşfedilen Zararlı Yazılım
Bir GitHub deposu, meşru bir Solana alım satım botu gibi davranarak, kullanıcı kimlik bilgilerini çalmak için tasarlanmış zararlı yazılımlar barındırıyordu. Blockchain güvenlik firması SlowMist tarafından yapılan bir inceleme, sahte deponun kullanıcı fonlarını çalmak için kullanıldığını ortaya çıkardı.
Blockchain güvenlik firması SlowMist'in raporuna göre, 'zldp2002' kullanıcısı tarafından barındırılan ve artık silinmiş olan solana-pumpfun-bot deposu, kullanıcı kimlik bilgilerini toplamak için gerçek bir açık kaynak aracını taklit ediyordu. SlowMist, bir kullanıcının Perşembe günü fonlarının çalındığını fark etmesi üzerine soruşturma başlattı.
İlgili kötü niyetli GitHub deposunun 'oldukça fazla sayıda yıldız ve fork'a sahip olduğu belirtildi. Tüm kod taahhütleri yaklaşık üç hafta önce yapılmış olup, SlowMist'e göre, meşru bir projeyi işaret etmeyen tutarsızlıklar ve düzen eksikliği bulunmaktaydı. Proje, Node.js tabanlı olup, bağımlılık olarak üçüncü taraf paketi crypto-layout-utils'i kullanıyordu. SlowMist, 'Daha fazla inceleme üzerine, bu paketin resmi NPM kaydından zaten kaldırıldığını bulduk' dedi.
Paket, resmi node paket yöneticisi (NPM) kaydından artık indirilemiyordu, bu da araştırmacıları mağdurun paketi nasıl indirdiği konusunda sorgulamaya yöneltti. Daha fazla inceleme yapan SlowMist, saldırganın kütüphaneyi ayrı bir GitHub deposundan indirdiğini keşfetti. Paket analiz edildikten sonra, SlowMist araştırmacıları, analizini zorlaştıran jsjiami.com.v7 kullanılarak yoğun bir şekilde bulanıklaştırıldığını buldu. De-obfuscasyon sonrasında, araştırmacılar, yerel dosyaları tarayan ve cüzdanla ilgili içerik veya özel anahtarlar tespit ederse bunları uzak bir sunucuya yükleyen kötü niyetli bir paket olduğunu doğruladı.
SlowMist tarafından yapılan daha fazla inceleme, saldırganın muhtemelen bir grup GitHub hesabını kontrol ettiğini ortaya çıkardı. Bu hesaplar, projeleri kötü niyetli varyasyonlara ayırmak, kötü amaçlı yazılımları dağıtmak ve yapay olarak fork ve yıldız sayılarını şişirmek için kullanılıyordu. Birçok forked depo benzer özellikler sergiledi; bazı sürümler, 12 Haziran'da oluşturulan başka bir kötü niyetli paket olan bs58-encrypt-utils-1.0.3'ü içeriyordu. SlowMist araştırmacıları, saldırganın kötü amaçlı NPM modülleri ve Node.js projeleri dağıtmaya başladığına inanıyordu.
Bu olay, kripto kullanıcılarını hedefleyen bir dizi yazılım tedarik zinciri saldırısının en yenisi. Son haftalarda, benzer planlar, sahte cüzdan uzantılarıyla Firefox kullanıcılarını hedef aldı ve kimlik bilgisi çalan kod barındırmak için GitHub depolarını kullandı.
(!) Bu haber yatırım tavsiyesi içermez. Kripto para yatırımlarınızda dikkatli olmalı ve profesyonel tavsiye almalısınız.