Siber güvenlik araştırmacıları, popüler @solana/web3.js npm kütüphanesini hedef alan ve kripto para birimi cüzdanlarını boşaltmak amacıyla kullanıcıların özel anahtarlarını toplayabilen iki kötü amaçlı sürümün gönderilmesini içeren bir yazılım tedarik zinciri saldırısı konusunda uyarıda bulunuyor.
Saldırı 1.95.6 ve 1.95.7 sürümlerinde tespit edildi. Bu sürümlerin her ikisi de artık npm kayıt defterinden indirilemez. Paket yaygın olarak kullanılıyor ve haftalık 400.000’den fazla indirmeye ulaşıyor.
Socket bir raporda, “Bu ele geçirilmiş sürümler, şüphelenmeyen geliştiricilerden ve kullanıcılardan özel anahtarları çalmak için tasarlanmış, potansiyel olarak saldırganların kripto para birimi cüzdanlarını boşaltmasına olanak tanıyan enjekte edilmiş kötü amaçlı kod içeriyor” dedi.
@solana/web3.js, Node.js ve web uygulamaları oluşturmaya yönelik Solana JavaScript yazılım geliştirme kiti (SDK) ile etkileşimde bulunmak için kullanılabilecek bir npm paketidir.
Datadog güvenlik araştırmacısı Christophe Tafani-Dereeper’a göre, “v1.95.7’ye eklenen arka kapı, özel anahtarı görünüşte meşru CloudFlare başlıkları aracılığıyla sızdıran bir ‘addToQueue’ işlevi ekliyor” ve “bu işleve yapılan çağrılar daha sonra çeşitli yerlere ekleniyor. (yasal olarak) özel anahtara erişin.”
Anahtarların sızdırıldığı komut ve kontrol (C2) sunucusu (“sol-rpc[.]xyz”) şu anda kapalı. 22 Kasım 2024’te alan adı kayıt kuruluşu NameSilo’ya kaydedildi.
Npm paketinin koruyucularının, tehdit aktörlerinin hesapların kontrolünü ele geçirmesine ve hileli versiyonları yayınlamasına olanak tanıyan bir kimlik avı saldırısının kurbanı olduğundan şüpheleniliyor.
Kütüphane yöneticilerinden biri olan Steven Luscher, 1.95.8 sürümünün sürüm notlarında “Solana dApps tarafından yaygın olarak kullanılan bir JavaScript kütüphanesi olan @solana/web3.js için bir yayınlama-erişim hesabının güvenliği ihlal edildi” dedi.
“Bu, bir saldırganın, özel anahtar malzemesini çalmasına ve özel anahtarları doğrudan işleyen dApp’lerden (botlar gibi) fonları boşaltmasına olanak tanıyarak, değiştirilmiş yetkisiz ve kötü amaçlı paketleri yayınlamasına olanak tanıdı. Bu sorun, genellikle saklama amaçlı olmayan cüzdanları etkilememelidir. işlemler sırasında özel anahtarları açığa çıkarmayın.”
Luscher ayrıca olayın yalnızca özel anahtarları doğrudan işleyen ve 2 Aralık 2024’te 15:20 UTC ve 20:25 UTC aralığında güncellenen projeleri etkilediğini belirtti.
Bağımlılık olarak @solana/web3.js’ye güvenen kullanıcılara, mümkün olan en kısa sürede en son sürüme güncelleme yapmaları ve tehlikede olduklarından şüphelenirlerse isteğe bağlı olarak yetki anahtarlarını değiştirmeleri tavsiye edilir.
Açıklama, Socket’in, solana-systemprogram-utils adlı sahte bir Solana temalı npm paketinin, işlemlerin %2’sinde kullanıcının fonlarını saldırgan tarafından kontrol edilen sabit kodlu bir cüzdan adresine gizlice yeniden yönlendirmek üzere tasarlanmış olduğu konusunda uyarmasından birkaç gün sonra geldi.
Soket Araştırma Ekibi, “Kod, zamanın %98’inde normal şekilde çalışarak amacını akıllıca maskeliyor” dedi. “Bu tasarım, saldırganın fonları hortumlamasına izin verirken şüpheyi en aza indiriyor.”
Bu aynı zamanda, meşru kütüphaneler gibi görünen, ancak kimlik bilgilerini ve kripto para birimi cüzdan verilerini aktarmak için kod içeren crypto-keccak, crypto-jsonwebtoken ve crypto-bignumber gibi npm paketlerinin keşfinin ardından, tehdit aktörlerinin güveni nasıl kötüye kullanmaya devam ettiğini bir kez daha vurguluyor. geliştiriciler açık kaynak ekosistemine yerleşiyor.
Güvenlik araştırmacısı Kirill Boychenko, “Kötü amaçlı yazılım, bireysel geliştiricilerin kimlik bilgilerini ve cüzdan verilerini çalarak doğrudan mali kayıplara yol açabilecek şekilde tehdit ediyor.” dedi. “Kuruluşlar için güvenliği ihlal edilmiş sistemler, kurumsal ortamlara yayılabilen ve yaygın istismara olanak tanıyan güvenlik açıkları yaratıyor.”