Kripto Para Birimine Saldıran Tehdit Aktörleri ve Silahlandırılmış NPM ve PYPI Paketleri ile Blockchain Geliştiricileri
Kripto para birimi ve blockchain geliştirme ekosistemi, açık kaynak tedarik zincirini hedefleyen sofistike kötü amaçlı yazılım kampanyalarında eşi görülmemiş bir artışla karşı karşıya.
.png
)
Geçen yıl, tehdit aktörleri, NPM ve PYPI dahil olmak üzere güvenilir kayıtlara kötü niyetli paketler yayınlayarak Web3 geliştiricilerine yönelik saldırılarını önemli ölçüde artırdılar ve bu depolarda yer alan örtük güven geliştiricilerinden yararlanıyorlar.
.webp)
Bu kampanyalar, blockchain geliştirme ortamlarında bulunan benzersiz güvenlik açıklarından yararlanan finansal olarak motive edilmiş saldırılara doğru hesaplanmış bir kaymayı temsil etmektedir.
.webp)
Saldırı manzarası, NPM’de barındırılan kötü amaçlı blockchain ile ilgili paketlerin yaklaşık% 75’i, PYPI’da% 20’si ve geri kalan Rubygems ve Go modülleri gibi kayıtlara dağıtılan giderek daha fazla yoğunlaştı.
Ethereum ve Solana birincil hedefler olmaya devam ederken, son kampanyalar Tron ve Ton platformlarını içerecek şekilde genişledi, bu da daha geniş bir cüzdan formatlarında ve alternatif katman-1 blockchain ekosistemlerinde artan tehdit aktörünün ilgisini gösterdi.
Socket.DEV analistleri, mevcut manzaraya hakim olan dört yinelenen tehdit sınıfı belirledi: kimlik bilgisi stealerlar, kripto süzücüleri, kriptajörler ve pano korsanları.
Bu kötü niyetli paketler, blockchain geliştiricilerinin açık kaynak bağımlılıklarına güvenmesi tarafından oluşturulan benzersiz saldırı yüzeyinden, genellikle katı bağımlılık validasyonu veya izolasyonu olmayan CI/CD boru hatlarıyla birleştirilir.
Tehdit oyuncusu, paketler asla içe aktarılmasa veya aktif olarak kullanılmasa bile, kurulumdan hemen sonra kötü niyetli davranışı tetiklemek için PYPI’da NPM ve Setup.py’de Post -install gibi paket yaşam döngüsü kancalarından yararlanır.
Bu saldırıların finansal etkisi şiddetli olmuştur ve tehdit aktörleri, uzlaşmış kalkınma ortamlarından milyonlarca kripto para biriminde başarıyla çıkarırlar.
Kötü amaçlı yazılım kampanyaları, Web3 geliştirme iş akışları hakkında sofistike bir anlayış gösterir, belirli cüzdan yollarını, tarayıcı uzantılarını ve blockchain geliştiricileri tarafından yaygın olarak kullanılan geliştirme araçlarını hedefler.
Gelişmiş Kimlik Bilgisi Hırsızlık Mekanizmaları
Bu tedarik zinciri saldırılarının en sofistike yönü, basit dosya sistemi kazımasının çok ötesinde gelişen kimlik bilgileri çıkarma yeteneklerinde yatmaktadır.
Modern kimlik bilgisi çalanlar, geliştirici ortamlarından hassas kriptografik materyali yakalamak için doğrudan dosya sistemi erişimini çalışma zamanı manipülasyonu ile birleştiren çok katmanlı yaklaşımlar kullanır.
Gelişmiş Stealers, kaynak dosyaları değiştirmeden tuşlarını kütüphane düzeyinde kesen maymun paylaşım teknikleri uygular.
Belgelenmiş PYPI kampanyalarında, kötü amaçlı yazılım, çalışma zamanında kütüphane yöntemlerini değiştirerek, nesil sırasında özel anahtarları yakalayarak, bunları sabit kodlanmış RSA-2048 genel anahtarlarıyla şifreleyerek ve şifrelenmiş verilerin Solana Devnet’e gönderilen blockchain not işlemlerine yerleştirilmesini engelledi.
Bu teknik, tehdit aktörlerinin gizliliği korurken çalıntı kimlik bilgilerini uzaktan almalarını ve şifresini çözmesini sağlar.
Nation-State aktörleri, özellikle Kuzey Kore’nin bulaşıcı görüşme kampanyasıyla bağlantılı olanlar, kimlik bilgisi ve arka planlar sunmak için laterler, doğrulayıcılar ve işleme sonrası kütüphaneler de dahil olmak üzere güvenilir geliştirici araçlarını silahlandırdı.
Bu saldırılar, geliştirme ortamının kendisinden ödün vererek, kurban sistemlerine yinelenen erişimi sağlamak için planlanan görevler ve başlangıç girişleri yoluyla kalıcılık oluşturarak çok faktörlü kimlik doğrulama ve donanım cüzdanları gibi geleneksel güvenlik önlemlerini atlar.
Kaynak link: [Source link](https://cybersecuritynews.com/threat-actors-attacking-cryptocurrency-and-blockchain-developers/)