Kripto para birimi kullanıcılarını hedefleyen önemli bir tedarik zinciri saldırısı. XRP defteri için JavaScript SDK olarak hizmet veren resmi XRPL (Ripple) NPM paketi, potansiyel olarak yüz binlerce uygulamayı etkileyen kripto para birimi özel tuşlarını çalmak için tasarlanmış kötü niyetli kodla tehlikeye atıldı.
21 Nisan 2025’te, 20:53 GMT’de Aikido Intel’in güvenlik izleme sistemi, XRPL kütüphanesinin haftalık 140.000’den fazla indirme işlemi olan beş olağandışı yeni paket versiyonunu tespit etti.
Daha fazla araştırma, bu sürümlerin kripto para birimi özel anahtarları çalabilen ve kullanıcıların dijital cüzdanlarına yetkisiz erişim elde edebilen arka kapı kodu içerdiğini doğruladı.
.png
)
Aikido Security’de kötü amaçlı yazılım araştırmacısı Charlie Eriksen, “Bu paket yüz binlerce uygulama ve web sitesi tarafından kullanılıyor, bu da onu kripto para birimi ekosisteminde potansiyel olarak felaket bir tedarik zinciri saldırısı haline getiriyor.
Güvenlik ekibi, “Mukulljangid” adlı bir kullanıcının şüpheli paket sürümlerini yayınladığını çabucak tespit etti. Bu hesabın, kimlik bilgileri tehlikeye atılan bir Ripple çalışanına ait olduğuna inanılmaktadır.
Kötü niyetli sürümler – 4.2.1, 4.2.2, 4.2.3, 4.2.4 ve 2.14.2 – projenin GitHub deposundaki hemen kırmızı bayrakları yükselten resmi sürümlere karşılık gelmez.
Teknik analiz şüpheli bir işlevi ortaya çıkardı checkValidityOfSeed pakete gömülü. Bu işlev, özel anahtar bilgileri yalnızca Ocak 2025-0x9c’de kaydedilen harici bir alana göndermek için tasarlanmıştır.[.]xyz.
Kötü amaçlı kod, kullanıcılar yeni cüzdanlar oluşturduğunda veya mevcut cüzdanlarla etkileşime girdiğinde, saldırganlara hassas şifreleme bilgileri gönderir.
Eriksen, “Saldırgan, olabildiğince gizli kalırken arka kapıyı eklemek için aktif olarak farklı yollar deniyordu” dedi. “Arka kapıyı üretilen JavaScript koduna manuel olarak eklemekten, TypeScript koduna koymaya ve ardından inşa edilmiş sürüme derlemeye gitmek”.
XRP Ledger Vakfı, güvenlik açığının XRP Defter Kodu tabanı veya GitHub deposunun kendisini değil, yalnızca XRPL.JS kütüphanesini etkilediğini doğruladı.
Keşife yanıt olarak, tehlikeye atılan paketlerin yerini almak için temiz sürümler (4.2.5 ve 2.14.3) hızla serbest bırakıldı.
Güvenlik uzmanları, kötü amaçlı paket sürümlerinin algılanmadan ve kaldırılmadan önce yaklaşık 450 kez indirildiğini tahmin ediyor.
21 Nisan ve 22 Nisan tarihleri arasında tehlikeye atılan paketlerden herhangi birini yüklemiş olabilecek kullanıcıların, ağ günlüklerini şüpheli alana giden bağlantılar açısından incelemeleri istenir.
Bu olay, kripto para birimi altyapısını hedefleyen yazılım tedarik zinciri saldırılarının artan tehdidini vurgulamaktadır. Milyonlarca haftalık indirme ile bir paketi etkileyen 2021’deki Uaparser.js uzmanı da dahil olmak üzere geçmişte benzer olaylar meydana geldi.
XRP ile çalışan kuruluşların ve geliştiricilerin en son paket sürümlerini hemen güncellemeleri ve tehlikeye atılan sürümler tarafından işlenen herhangi bir tohum veya özel anahtarın ortaya çıktığını varsaymaları önerilir.
Finansal kurumlar ve kripto para birimi hizmet sağlayıcıları, bu veya benzeri tedarik zinciri saldırılarından etkilenmediklerinden emin olmak için bağımlılıklarının kapsamlı güvenlik denetimlerini de yapmalıdır.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy