Son zamanlarda kötü niyetli NPM paketleri dalgası, özellikle Ethereum cüzdan sahiplerini hedefleyen kripto para birimi kullanıcıları için önemli bir tehdit olarak ortaya çıkmıştır.
Siber güvenlik araştırmacıları, saldırganların meşru kütüphaneler olarak gizlenmiş zararlı kodu dağıtmak için yaygın olarak kullanılan Düğüm Paket Yöneticisi (NPM) ekosisteminden yararlandığı sofistike bir kampanya ortaya çıkardılar.
Bu saldırı vektörü, geliştiricilerin açık kaynaklı depolarda yer aldığı güven, şüphesiz kullanıcılardan hassas verileri çalmak için gizlenmiş JavaScript’i yerleştirerek kullanıyor.
.png
)
Yeni Tehdit Kripto Kullanıcılarını Hedefliyor
Keşif, yazılım tedarik zinciri güvenlik açıklarının ve kripto para hırsızlığının artan kesişimini vurgulamakta ve hem geliştirici hem de kripto topluluklarında alarmlar yükseltiyor.
Soket raporuna göre, kötü niyetli paketler, gerçek niyetlerini gizlemek için gelişmiş gizleme teknikleri kullanıyor ve bu da geleneksel güvenlik araçlarının ilk taramalar sırasında tehdidi tespit etmesini zorlaştırıyor.
Kurulduktan sonra, bu paketlerin içine gömülü JavaScript kodu çok aşamalı bir saldırıyı etkinleştirir.
İlk olarak ek yükleri indirmek için bir uzaktan komut ve kontrol (C2) sunucusu ile iletişim kurar.
Birincil hedef, Ethereum cüzdanlarından özel anahtarların ve tohum ifadelerinin çıkarılması gibi görünüyor.
Yük dağıtım
Tarayıcı uzantılarını ve yerel cüzdan uygulamalarını hedefleyerek, kötü amaçlı yazılım, güvenlik bilincine sahip kullanıcıların bile risk altında olmasını sağlar.
Özellikle endişe verici olan, saldırganların, geliştiricileri kötü niyetli kodu projelerine entegre etmek için kandırmak için popüler kütüphanelere benzer şekilde yazılan adlandırma paketlerini aldatıcı bir şekilde kullanmasıdır.
Bu taktik sadece kampanyanın erişimini arttırmakla kalmaz, aynı zamanda yazılım geliştirmede titiz bağımlılık veterinerinin öneminin altını çizer.
Ayrıca, yükler, kalıcılık ve veri açığa çıkma yetenekleriyle bilinen Asyncrat ve Lyrix fidye yazılımlarını anımsatan davranışlar sergilemekte ve saldırgan altyapısında veya taktiklerde potansiyel bir örtüşme önermektedir.

pancake_uniswap_validators_utils_snipe/index.js
kötü niyetli.Bu saldırının etkileri çok kapsamlıdır, çünkü tehlikeye atılan Ethereum cüzdanları, blockchain işlemlerinin geri dönüşü olmayan doğası göz önüne alındığında birkaç dakika içinde önemli finansal kayıplara yol açabilir.
Proje bağımlılıkları için NPM’ye güvenen geliştiricilerin, kurulumdan önce sağlama toplamları ve yayıncı itibarı yoluyla paket özgünlüğünü doğrulayarak çok dikkatli olmaları istenir.
Buna ek olarak, gizleme teknikleri, muhtemelen hem kötü amaçlı yazılım geliştirme hem de kripto para dolandırıcılığında deneyime sahip organize siber suç gruplarının katılımını gösteren yüksek düzeyde sofistike bir seviyeye işaret etmektedir.
Hemen hırsızlığın ötesinde, siber güvenlik manzarasında artan bir endişe olan daha geniş kimlik avı dolandırıcılıklarında çalınan kimlik bilgilerinin kullanılabileceği bir riski vardır.
Solarwinds Dameware veya uzaktan yönetim için benzeri araçları kullanan kuruluşların da güvenlik protokollerini güncellemeleri önerilir, çünkü tedarik zinciri saldırıları genellikle ağlardaki yanal hareket için giriş noktası olarak hizmet eder.
Bu olay, NPM gibi güvenilir depoların bile kötü niyetli aktivite için farkında olmayan kanallar haline gelebileceği siber tehditlerin gelişen doğasını kesin bir hatırlatma görevi görüyor.
Güvenlik ekipleri bu göstergeleri izlemeye ve daha fazla uzlaşmayı önlemek için katı bağımlılık taraması uygulamaya teşvik edilir.
Bu tür gelişen tehditler karşısında uyanık kalmak, dijital varlıkların korunması ve açık kaynaklı ekosistemlere olan güveni korumak için kritik öneme sahiptir.
Uzlaşma Göstergeleri (IOCS)
Tip | Gösterge | Tanım |
---|---|---|
Kötü niyetli paket adı | Eth-Wallet-Connectorx | TypeSquatted Paket Adı |
Kötü niyetli paket adı | eter-yarık | Meşru ethereum yardımcı programını taklit eder |
C2 Alanı | enderethub[.]xyz | Komut ve Kontrol Sunucusu |
Hash (SHA256) | 8F3D2C… A9B1C (Örnek) | Kötü amaçlı yük karma |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!