Saldırganlar, Raydium ve Solana kullanıcılarını hedef alan kötü amaçlı Python paketlerini PyPI’ye yükledi ve kötü amaçlı yazılımı dağıtmak için bir StackExchange gönderisinden yararlandı.
Çok aşamalı kötü amaçlı yazılım hassas verileri çaldı, kripto para cüzdanlarını boşalttı ve Windows güvenlik korumalarını aşarak kalıcı arka kapı erişimi oluşturdu, yazılım tedarik zincirlerinin güvenlik açığını ve geleneksel uç nokta güvenlik çözümlerinin modern tehditlere karşı etkisizliğini vurguladı.
.webp)
İlk yük, hassas verileri çalmak için ek kötü amaçlı komut dosyaları indirerek çok aşamalı bir saldırıyı tetikledi.
Kötü amaçlı yazılım tarayıcı verilerini, kripto para cüzdanı bilgilerini, mesajlaşma uygulaması içeriklerini ve ekran görüntülerini sızdırdı.
Ayrıca belirli anahtar sözcükleri ve şifreleme anahtarlarını aradı. Çalınan veriler sıkıştırıldı ve Telegram botları aracılığıyla gönderildi, bir arka kapı ise saldırgana kalıcı sistem erişimi sağladı.
.webp)
Saldırı mağdurlarının analizi, Raydium ve Solana kullanıcılarıyla güçlü bir korelasyon ortaya koyuyor ve bu da hedefli bir saldırının göstergesi.
Saldırganın bu ekosistem içindeki yüksek değerli işlemlerin engellenmesi veya manipüle edilmesi yoluyla finansal kazanç elde etme amacı güttüğü, bunun da stratejik planlama ve açık bir finansal amaç içerdiğini gösteriyor.
Saldırganlar Stratejik Olarak Tasarlanmış Kötü Amaçlı Yazılımlar
Aldatıcı taktik, meşru yazılıma çok benzeyen bir paket oluşturmayı ve mevcut yazılımın işlevselliğinden veya kod tabanından yararlanmayı içeriyordu.
Kötü amaçlı yük daha sonra gizlice paketin içine yerleştirilerek, ilk güvenlik kontrollerini atlatmak ve yüklendikten sonra zararlı eylemler gerçekleştirmek amaçlanıyor.
.webp)
Raydium, resmi bir Python kütüphanesine sahip olmayan meşru bir Solana tabanlı AMM olmasına rağmen, bir saldırgan stratejik olarak bu eksikliği istismar ederek PyPI’da aynı adı taşıyan sahte bir Python paketi oluşturdu ve geliştiricileri meşru bir Raydium entegrasyonu kisvesi altında kötü amaçlı kod yüklemeye yönlendirmeyi amaçladı.
Kötü niyetli aktör, zararlı “spl-types” paketini görünüşte meşru bir bağımlılığın içine yerleştirdi, tehdidi etkili bir şekilde kamufle etti ve şüphelenmeyen kullanıcıları güvenilir paketle birlikte bu paketi de yüklemeleri konusunda yanılttı.
.webp)
Bir saldırgan, kötü amaçlı bir “Raydium” paketini tanıtmak için StackExchange’i stratejik olarak kullandı.
Raydium ve Solana geliştirmeleriyle ilgili çok izlenen bir konuya sızarak, kötü amaçlı paketlerini içeren yetkili görünen bir yanıt hazırladılar.
Checkmarx’a göre, güvenilirlik oluşturmayı ve benimsenmeyi teşvik etmeyi amaçlayan bu aldatıcı taktik, özellikle anonim çevrimiçi kaynaklardan gelen önerilere güvenildiğinde, titiz paket doğrulamasına olan kritik ihtiyacı vurguluyor.
.webp)
Kötü amaçlı paketler, tedarik zinciri güvenliğindeki zaafları istismar ederek bireyler için ciddi mali kayıplara yol açtı ve mevcut güvenlik önlemlerindeki kritik boşlukları açığa çıkardı.
Saldırıda kullanıcı sistemleri tehlikeye atıldı ve özel anahtarlar da dahil olmak üzere hassas veriler çalındı.
Windows Defender gibi geleneksel güvenlik çözümleri tehditleri tespit etmekte başarısız oldu ve paket tabanlı saldırılara karşı gelişmiş korumanın gerekliliğini vurguladı. Kötü amaçlı paketlerin iz bırakmadan depolarından kaldırılması ise tehdit araştırmasını engelliyor ve kullanıcıları aynı kaynaktan gelecek gelecekteki saldırılara karşı savunmasız bırakıyor.