NPM paket kayıt defterinde Ethereum geliştiricilerinden kripto para birimi cüzdan kimlik bilgilerini çalma özelliklerine sahip yeni dört kötü amaçlı paket seti keşfedilmiştir.
Soket araştırmacısı Kush Pandya bir analizde, “Paketler meşru şifreli kamu hizmetleri ve flashbots MEV altyapısı olarak maskelenirken, özel anahtarları ve anımsatıcı tohumları tehdit aktör tarafından kontrol edilen bir telgraf botuna gizlice birleştirirken,” dedi.
Paketler, “Flashbotts” adlı bir kullanıcı tarafından NPM’ye yüklendi, en eski kütüphane Eylül 2023’e kadar yüklendi. En son yükleme 19 Ağustos 2025’te gerçekleşti.
Maksimum çıkarılabilir değerin (MEV) Ethereum ağı üzerindeki olumsuz etkilerinin sandviç, tasfiye, geri çekilme, önden kaçan ve zaman bandit saldırıları gibi olumsuz etkilerinin mücadelesinde rolü göz önüne alındığında, flashbotların kimliğine bürünmesi tesadüf değildir.
Belirlenen kütüphanelerin en tehlikeli olanı, kötü niyetli işlemleri gizlemek için fonksiyonel kapağını kullanan “@FlashBotts/Ethers-Provider-Buunddle” dır. Tam Flashbots API uyumluluğu sunma kisvesi altında, paket, MailTrap kullanarak SMTP üzerinden çevre değişkenlerini yaymak için gizli işlevsellik içerir.
Buna ek olarak, NPM paketi, imzasız tüm işlemleri saldırgan kontrollü bir cüzdan adresine ve günlük meta verilere önceden imzalanmış işlemlerden yönlendirmek için bir işlem manipülasyon işlevi uygular.
Soket başına SDK-Etkiler çoğunlukla iyi huyludur, ancak anımsatıcı tohum cümlelerini sadece kendi projelerinde istenmeyen geliştiriciler tarafından çağrıldıklarında etkinleştirilen bir telgraf botuna iletmek için iki işlev içerir.
Flashbot’ları taklit etmek için ikinci paket olan Flashbot-SDK-ETH de özel anahtarların hırsızlığını tetiklemek için tasarlanırken, Gram-Utilz, tehdit oyuncunun telgraf sohbetine keyfi verileri yaymak için modüler bir mekanizma sunuyor.
Kripto para birimi cüzdanlarına erişimi kurtarmak için “ana anahtar” olarak hizmet veren anımsatıcı tohum ifadeleriyle, bu kelime dizilerinin hırsızlığı, tehdit aktörlerinin kurbanların cüzdanlarına girmesine ve cüzdanları üzerinde tam kontrol kazanmasına izin verebilir.
Kaynak kodunda Vietnam dil yorumlarının varlığı, finansal olarak motive edilen tehdit oyuncusunun Vietnamca konuşulabileceğini düşündürmektedir.
Bulgular, saldırganların bir kısmında, yazılım tedarik zinciri saldırıları yapmak için platformla ilişkili güveni silahlandırma konusunda kasıtlı bir çabayı göstermektedir, bu da incelemeyi sınırlamak için çoğunlukla zararsız kodun ortasında kötü niyetli işlevselliği belirlemekten bahsetmemektedir.
Pandya, “Flashbots, doğrulayıcılar, araştırmacılar ve DEFI geliştiricileri tarafından yaygın olarak güvenildiğinden, resmi bir SDK gibi görünen herhangi bir paketin, ticaret botları çalıştıran veya sıcak cüzdanları yöneten operatörler tarafından benimsenme şansı yüksektir.” Diyerek şöyle devam etti: “Bu ortamda tehlikeye atılmış bir özel anahtar, derhal geri döndürülemez fon hırsızlığına yol açabilir.”
“Bu paketler, geliştirici Trust’ı tanıdık paket adlarına ve meşru yardımcı programlarla kötü amaçlı kod dolgulamaya yönlendirerek, rutin Web3 geliştirmeyi aktör kontrollü telgraf botlarını tehdit etmek için doğrudan bir boru hattına dönüştürüyor.”