Solana geliştiricilerini hedefleyen sofistike bir tedarik zinciri saldırısı, rutin geliştirme iş akışları sırasında kripto para birimi özel anahtarlarını sessizce çalan silahlı bir Python paketi aracılığıyla 25.900’den fazla indirmeyi tehlikeye attı.
“Anlamsal Tipler” adlı bir paketin etrafında toplanan kötü niyetli kampanya, geleneksel güvenlik kontrollerini atlamak için geçişli bağımlılıklar ve blockchain tabanlı pessiltrasyon yöntemlerinden yararlanarak yazılım tedarik zinciri tehditlerinde yeni bir evrimi temsil ediyor.
Saldırı, birbirine bağlı altı PYPI paketinden oluşan bir ağ üzerinden çalışır, semantik tipler temel kötü niyetli yük yükü olarak hizmet verirken, beş ek paket dağıtım aracı olarak işlev görür.
.png
)
Solana-Kopair, Solana-Publickey, Solana-Mev-Agent-Py, Solana ticaret botu ve Soltrade dahil olmak üzere bu ikincil paketler, semantik tipleri bir bağımlılık olarak ilan ederek, bu görünüşte meşru Solana geliştirme araçlarından herhangi birini otomatik olarak yüklemesini sağlar.
.webp)
Tehdit oyuncusu, cilalı belgeleri özenle hazırladı ve paketleri, geliştirici topluluğu içinde güvenilirlik oluşturmak için meşru yığın taşma tartışmalarına ve GitHub depolarına bağladı.
Soket analistleri, yetkisiz kriptografik operasyonları ve şüpheli bağımlılık ilişkilerini tespit eden davranışsal analiz yoluyla kötü niyetli kampanyayı tanımladı.
Araştırmacılar, tehdit oyuncunun gecikmiş bir aktivasyon stratejisi kullandığını ve başlangıçta Ocak 2025’in sonlarında kötü niyetli yükü tanıtmadan önce Aralık 2024’te paketlerin iyi huylu versiyonlarını yayınladığını ve erken benimseyenlerin uzlaşmadan önce güven oluşturmalarına izin verdiğini belirtti.
Kampanyanın zaman çizelgesi, 26 Ocak 2025’te yükü tanıtmakta ve ardından saldırının erişimini genişletmek için ek paket sürümleri ile birlikte, kötü amaçlı semantik tipler sürüm 0.1.5 sürümüyle metodik bir yaklaşım ortaya koyuyor.
Kötü amaçlı yazılım özellikle kripto para birimi cüzdanlarına ve akıllı sözleşme kimlik bilgilerine erişim sağlayabilecek Solana özel anahtarlarını hedeflediğinden, finansal sonuçlar bireysel geliştiricilerin ötesine uzanmaktadır.
Bir geliştirme ortamına aktarıldıktan sonra, kötü amaçlı yazılım, yeni oluşturulan her tuş özü sessizce yakalar ve şifrelenmiş özel anahtar verilerini meşru Solana blockchain işlemleri yoluyla tehdit oyuncusuna iletir ve bu da pesfiltrasyonun rutin cüzdan aktivitesi olarak görünmesini sağlar.
Keşif sırasında, altı paketin tümü PYPI’da aktif kaldı ve potansiyel olarak ek geliştirici ortamlarından ve CI/CD boru hatlarından ödün vermeye devam etti.
Maymun Yaması ve Çalışma Zamanı Müdahale Mekanizması
Bu saldırının teknik karmaşıklığı, diskteki kaynak kodunu değiştirmeden çalışma zamanındaki işlevleri değiştiren dinamik bir python tekniği olan Monkey Patching’in kullanımında yatmaktadır.
Kötü amaçlı yazılım özellikle Lehçeler Kütüphanesi’nden tuşace sahip sınıfı hedefler ve from_seed, from_bytes ve from_base58_string dahil kritik yapıcı yöntemleri ele geçirir.
Semantik tipler içe aktarıldığında, tespiti önlemek için orijinal davranışlarını korurken bu yöntemleri kötü amaçlı işlevsellikle kaplayan kodları otomatik olarak yürütür.
Müdahale işlemi, anahtarlı üretimden hemen sonra özel anahtar baytları yakalayan bir sarma işlevi ile çalışır.
Kötü amaçlı yazılım çalınan anahtarı, sabit kodlu bir RSA-2048 public tuşunu kullanarak şifreler ve bir Solana not işlemi yoluyla şifrelenmiş verileri DevNet uç noktasına iletmek için bir arka plan iş parçacığı ortaya çıkarır.
Bu yaklaşım, eksfiltrasyonun normal uygulama akışını bozmadan eşzamansız olarak gerçekleşmesini sağlar ve uzlaşmayı geliştiriciler ve otomatik izleme sistemleri için neredeyse görünmez hale getirir.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.