Bir Rus blockchain mühendisi, özenle planlanan bir siber saldırının kurbanı olduktan sonra Haziran 2025’te kripto para birimi varlıklarında 500.000 dolardan fazla kaybetti ve açık kaynaklı ekosistemlerde var olabilecek tehlikeleri korkunç bir hatırlatma olarak hizmet etti.
Siber güvenlik uzmanları tarafından araştırılan saldırı, AI destekli gelişim için tasarlanmış görsel stüdyo kodu tabanlı bir ortam olan imleç AI ide için meşru bir araç olarak gizlenmiş kötü niyetli bir uzatmanın kullanımını ortaya çıkardı.
Blockchain geliştiricilerine sofistike bir saldırı
Bu olay, PYPI, NPM ve Open VSX gibi depoların, kripto geliştiricileri gibi yüksek değerli bireyleri hedefleyen siber suçlular için giderek daha fazla avlanma alanları haline gelen silahlı açık kaynak paketlerinin artan tehdidinin altını çiziyor.
Saldırı vektörü, görünüşte sağlamlık akıllı sözleşme kodunun sözdizimi vurgulanması için tasarlanan “Solidity Dili” adlı sahte bir uzatma idi.
Açık VSX kayıt defterinde barındırılan uzantı, 54.000 indirme ile övündü ve kayıt defterinin, indirme sayımlarının yanı sıra yenilik gibi faktörleri önceliklendiren sıralama algoritmasını kullandı.
15 Haziran 2025’te güncellenen kötü niyetli uzantı, meşru muadilini (son 30 Mayıs 2025 güncellendi) geride bıraktı, “sağlamlık” için arama sonuçlarında daha yüksek göründü ve uyanık geliştiriciyi yüklemeye aldılar.
Kötü niyetli yükler serbest bırakıldı
Yayım, vaat edilen işlevselliği sağlamak yerine, yıkıcı bir kötü amaçlı operasyon zinciri yürüttü.
Angelic’teki şüpheli bir sunucudan PowerShell komut dosyalarını indirdi[.]röle.lmfao aracılığıyla saldırgan kontrolü için screenconnect uzaktan yönetim yazılımının kurulumunu kolaylaştıran SU,[.]var.
Sonraki komut dosyaları, Quasar Backdoor ve Stealer kötü amaçlı yazılımları (Heur olarak tespit edildi: Trojan-PSW.MSIL.Purelogs.Gen tarafından Kaspersky tarafından), sonuçta kurbanın kripto cüzdanlarından geçişli parolaları sifonladı.
Sofistike burada bitmedi. Orijinal kötü niyetli uzatma 2 Temmuz 2025’te kaldırıldıktan sonra bile, saldırganlar, meşru geliştiricinin kullanıcı adını ince bir yazım hatası (Juanbianco vs. Juanblanco) ile taklit eden tam “Solidity” adı altında yeni bir versiyon yüklediler.
Mantıksız iki milyon indirme ile, arama sonuçlarındaki otantik uzantının yanında oturdu ve kullanıcıları yanıltıcı kullanıcılara daha fazla benzetti.
NPM’de “Solsafe” ve diğer vs kod uzantıları (SOLAIBOT, Blankebesxstnion) gibi ek kötü amaçlı paketler ortaya çıkarıldı ve yakın enfeksiyon yöntemleri kullanılarak blok zincir profesyonellerini hedefleyen daha geniş bir kampanya ortaya çıkarıldı.
Rapora göre, bu saldırılar tutarlı bir şekilde macun.ee’den gizlenmiş komut dosyalarını ve archive.org’daki görüntülerde gizlenmiş ve sistematik ve kalıcı bir tehdidi vurgulayan yükleri tutarlı bir şekilde kullandı.
Bu olay, kripto endüstrisi için açık kaynaklı araçlara büyük ölçüde bağımlı bir uyarıdır. Geliştiriciler çok dikkatli olmalı, paket özgünlüğünü doğrulamalı ve kaynak kodunu tutarsızlıklar için incelemelidir.
Modern siber güvenlik çözümleri bu saldırıyı engelleyebilir ve deneyimli profesyoneller arasında bile sağlam savunma ihtiyacını vurgulayabilirdi.
Kötü niyetli paketler çoğaldıkça, bu yüksek bahisli alandaki dijital varlıkların korunması için uyanıklık ve gelişmiş korumalar kritik öneme sahiptir.
Uzlaşma Göstergeleri (IOC)
| Tip | Gösterge |
|---|---|
| Dosya Hashes (JS Dosyaları) | 2C471E265409763024CDC33579C84D88D5AAF9AEA191126B875D3B7604A0EB, vb. |
| Ağ Göstergeleri | https: // melek[.]su/files/1.txt, https: //relay.lmfao[.]144.172.112[.]84 |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.