En büyük tedarik zinciri saldırısında, bilgisayar korsanları birlikte haftada iki milyardan fazla indirmeyi oluşturan 18 popüler NPM paketinden ödün verdi. 8 Eylül’de başlayan saldırı, kullanıcılardan kripto para birimini çalmak için tasarlanmış kötü amaçlı kodların enjekte edilmesini içeriyordu.
Meydan okunan paketler arasında yaygın olarak kullanılan kütüphaneler chalk– debug– ansi-stylesVe supports-color. Kötü amaçlı kod bu paketlerin yeni sürümlerine eklendi ve bunları kullanarak web sitelerinin istemci tarafında yürütülmesi için tasarlandı.
Kötü amaçlı yazılım, tarayıcı içindeki kripto para birimini ve Web3 etkinliklerini, cüzdan etkileşimlerini manipüle eder ve fonları saldırgan kontrolündeki hesaplara yönlendirmek için ödeme hedeflerini yeniden yazmak.
Popüler NPM paketleri hacklendi
Kötü amaçlı yazılım, hem ağ trafiğini hem de uygulama düzeyinde API’leri hedefleyen sofistike bir tarayıcı önleyici olarak çalışır. Bunu gibi çekirdek tarayıcı işlevlerine takarak bunu başarır fetch XMLHttpRequestAkidio, Ethereum, Solana ve diğer blok zincirler için popüler kripto cüzdanları için arayüzlerin yanı sıra.
Kötü amaçlı kod bir dizi adımda çalışır:
- Enjeksiyon ve kanca: Kendisini tarayıcı ortamına yerleştirir ve web istekleri ve cüzdan iletişimi ile ilgili işlevlerin kontrolünü ele geçirir.
- Hassas veriler için tarama: Kötü amaçlı yazılım, Bitcoin, Ethereum, Solana, Tron, Litecoin ve Bitcoin Cash dahil olmak üzere çeşitli blok zincirleri için kripto para birimi cüzdanı adreslerini eşleştiren kalıplar için ağ yanıtlarını ve işlem ayrıntılarını aktif olarak tarar.
- Cüzdan adreslerini yeniden yazma: Meşru bir adres bulduktan sonra, kötü amaçlı yazılım, saldırganlara ait sabit kodlanmış bir listeden benzer bir adresle değiştirir. Bu, takasın kullanıcı için daha az fark edilebilir hale getirilmesi için dize eşleştirme algoritmaları kullanılarak yapılır.
- Kaçırma işlemleri: Kod, kullanıcı imzalamadan önce işlem parametrelerini değiştirir. Bu, kullanıcı arayüzü doğru alıcı adresini görüntülse bile, imzalanan işlemin fonları yönlendireceği veya saldırganlara jeton onayları vereceği anlamına gelir.
Meyveden çıkarılan paketlerin bakımı, kimlik avı saldırısına kurban ettiklerini ortaya koydu. Etki alanından görünüşte NPM desteğinden bir e -posta gönderildi npmjs.helpHacker News Post’a göre, geliştiriciyi kimlik bilgilerini açıklamaya yönlendiriyor.
Bu alan, 5 Eylül 2025’e kadar saldırıdan sadece üç gün önce kaydedildi.
Bakım, uzlaşmanın farkına vardı ve paketlerin kötü amaçlı sürümlerini kaldırmak için adımlar atmaya başladı. Ancak, rapor sırasında en az bir paket, simple-swizzletehlikeye atılmış kaldı.
Olay ayrıca, aynı saldırganların başka bir paketten ödün verebileceğini de ortaya koydu. proto-tinker-wcbenzer yöntemler kullanarak.
Aşağıdaki tabloda etkilenen paketler ve tehlikeye atılan sürümler listelenmektedir:
| Paketi | Kötü niyetli versiyon |
|---|---|
backslash |
0.2.1 |
chalk-template |
1.1.1 |
supports-hyperlinks |
4.1.1 |
has-ansi |
6.0.1 |
simple-swizzle |
0.2.3 |
color-string |
2.1.1 |
error-ex |
1.3.3 |
color-name |
2.0.1 |
is-arrayish |
0.3.3 |
slice-ansi |
7.1.1 |
color-convert |
3.1.1 |
wrap-ansi |
9.0.1 |
ansi-regex |
6.2.1 |
supports-color |
10.2.1 |
strip-ansi |
7.1.1 |
chalk |
5.6.1 |
debug |
4.4.2 |
ansi-styles |
6.2.2 |
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.