Sonatype, kripto ve kişisel verileri çalmak için popüler Cryptojs kütüphanesini taklit eden kötü niyetli bir NPM paketi olan ‘Crypto-incelrpt-ts’ keşfetti. Şimdiye kadar 1900’den fazla indirme bildirildi.
Sonatype’deki siber güvenlik araştırmacıları yakın zamanda NPM kayıt defterinde kötü amaçlı bir yazılım paketi ortaya çıkardılar.crypto-encrypt-ts‘. Bu paket, yaygın olarak kullanılan ancak şimdi desteklenmeyen Cryptojs kütüphanesinin güncellenmiş bir sürümü olarak görünecek şekilde tasarlanmıştır ve NPM’de göründüğünden beri 1.928’den fazla indirilmiştir.
Gerçek CryptoJS Kütüphane, artık sürdürülmemesine rağmen, her hafta milyonlarca indirme çekerek çok popüler olmaya devam ediyor. Bu popülerlik, gibi ilgili projelere benzer ilgi ile 'crypto-ts'kötü niyetli bireyler için bir hedef haline getirdi.
Sonatype’in güvenlik araştırmacısı Jeff Thornhill, bu tehdidi analiz etti, ki sonatype-2025-001329. Hackread.com ile paylaşılan Sonatype’in araştırmasına göre, bu aldatıcı ‘Crypto-incelrpt-ts’ paketi, orijinal Cryptojs’un TypeScript sürümü gibi davranıyor.
Ancak, şifreleme işlevleri sağlamak yerine, kripto para cüzdanlarına gizlice erişir ve saldırganlara hassas bilgiler gönderir. Gerçek kütüphanenin belgelerinin bölümlerini bile kopyaladı ve platformda başka bir paketi olmayan ‘Crypto-Security-Tool’ adlı bir NPM kullanıcısı tarafından yüklendi.
Bu kötü amaçlı paket, çalınan verileri saldırgan kontrollü bir sunucuya gizlice göndermek için daha önce Logtail olarak bilinen Better Stack adlı meşru bir hizmet kullanıyor (s1287874.eu-nbg-2.betterstackdatacom). Better Stack, hata ayıklama ve çözme sorunlarına yardımcı olmak için yazılım günlüklerini toplamak ve analiz etmek için tasarlanmış bir platformdur. Paket özellikle Better Stack’s ‘@logtail/node‘NPM paketi içinde’start.js‘Kötü amaçlı yazılımın dosyası.
Daha fazla problama, özellikle 5.4.2 sürümünde kötü amaçlı kodun, enfekte bilgisayarı MongoDB bağlantı ayrıntılarını aradığını ortaya koydu. Bulunursa, kripto para cüzdanı adreslerini, bakiyelerini ve çevre değişkenlerini bulmaya çalışır. İlginç bir şekilde, Türk dilinde kodlardaki yorumların ve mesajların varlığı, bu kötü niyetli bileşenin olası bir kökenini göstermektedir. V. 5.4.5 de dahil olmak üzere daha sonraki sürümler, 1000’den fazla değere sahip kripto para birimi cüzdanlarını hedefler ve özel anahtar çalarak daha iyi yığın hizmeti aracılığıyla saldırganın sunucusuna bilgi gönderir.
Kötü amaçlı yazılım, Node.js ve BUN uygulamaları için planlanmış bir cron işi oluşturmak için ‘PM2’ kullanır, bu da sürekli çalışmalarına ve kesinti yapmadan yeniden başlatılmalarına izin verir. Son sürümler, yazılımın gerçek niyetini anlamayı zorlaştırarak gelişmiş ve kafa karıştırıcı kod içerir.
Sonatype, NPM kayıt defterine zararlı paketi bildirdi ve kullanıcılara ‘Crypto-Incrypt-TS’nin tüm sürümlerini kaldırmalarını tavsiye etti. Yine de, bu keşif, kullanıcıların yanlışlıkla kötü niyetli sürümü indireceğini umarak, kripto para birimini çalmak için yazım hatası (meşru olanlara benzeyen sahte paketler oluşturma) kullanarak büyüyen bir siber suçlu eğilimini vurgulamaktadır.
Bu taktiğin son örnekleri arasında ‘Loadash’ ve ‘Eslint’ sahte versiyonları yer alıyor. Kamu kayıtlarından üçüncü taraf yazılımları kullanırken yazılım geliştirme süreci ve artan uyanıklık boyunca daha güçlü güvenlik önlemleri, korumalı kalmak için kuruluşların en büyük önceliği olmalıdır.