Siber suçlular, dijital cüzdan anahtarlarını çalmak için tasarlanmış kötü amaçlı pas kasaları aracılığıyla kripto para birimi geliştiricilerini hedefleyen sofistike bir tedarik zinciri saldırısı başlattı.
İki hileli paket olan Faster_Log ve Async_println, meşru Fast_Log Logging kütüphanesini taklit ederek Pas Paket Kayıt Defterine sızdırarak, Saldırgan ve Etkili Serverlere yayılmadan önce Solana ve Ethereum Özel Anahtarları için kaynak dosyalarını tarayan kötü amaçlı kodları yerleştirdi.
Kötü niyetli kasalar 25 Mayıs 2025’te Rustguruman ve Dumbnbased Alias altında yayınlandı ve keşiflerinden önce 8.424 kombine indirme biriktirdi.
Bu paketler, geliştiricilerin kaynak kodu ve proje dosyalarından kripto para birimi kimlik bilgilerini gizlice hasat ederken, algılamadan kaçınma işlevsel günlüğe kaydetme özelliklerini korumuştur.
Saldırganlar, gündelik inceleme süreçlerini geçebilecek ikna edici imposterler oluşturmak için orijinal FAST_LOG’un ReadMe belgelerini ve depo meta verilerini kopyalayarak yazım hatası teknikleri kullandılar.
Socket.DEV analistleri, rutin tehdit izleme sırasında kötü niyetli paketleri belirleyerek sofistike kimlik bilgisi hırsızlık mekanizmalarını keşfettiler.
Araştırmacılar, her iki kasanın da aynı pessfiltrasyon iş akışlarını uyguladığını, üç spesifik desen için taradığını buldular: 0x önek, baz kodlu solana adresleri ve 32 ila 44 karakter arasında değişen 64 karakterlik onaltılık diziler olarak biçimlendirilmiş Ethereum özel anahtarlar, keçe aralıklarını içerebilecek 32 ila 44 karakter arasında değişti.
%20and%20right%20(async_println)%20are%20malicious%20(Source%20-%20Socket.dev).webp)
Herhangi bir eşleşen desen tespit edildikten sonra, kötü amaçlı yazılım, çalınan kimlik bilgilerini hemen Mainnet.solana-rpc-pool.workers.dev’de barındırılan sert kodlanmış bir komuta ve kontrol uç noktasına iletir.
Saldırı vektörü, geliştiricinin paket depolarına olan güvenini kullanır ve minimal kod değişikliklerinin önemli güvenlik riskleri oluşturabileceğini gösterir.
Tehdit oyuncusu, kimlik bilgisi hasat rutinlerini yerleştirirken orijinal günlüğü işlevselliğini sürdürdü ve paketlerin ilk test ve entegrasyon aşamaları sırasında beklendiği gibi çalışmasını sağladı.
Bu yaklaşım, kötü amaçlı kodun geliştirme ortamlarında ve sürekli entegrasyon boru hatlarında tespit edilmemesine izin verdi.
Teknik Uygulama ve Eksfiltrasyon Mekanizması
Kötü amaçlı yazılımların temel işlevselliği, Rust’ta uygulanan proje dizinlerini tekrarlayan bir şekilde işleyen sofistike bir tarama motoru etrafında döner.
Kötü niyetli kod, özellikle blockchain geliştiricileri tarafından yaygın olarak kullanılan kalıplara odaklanarak kaynak dosyalara gömülü kripto para ile ilgili sırları tanımlamak için normal ifadeler kullanır.
const HARDCODED_ENDPOINT: &str = "https://mainnet.solana-rpc-pool.workers.dev/";
pub struct FoundItem {
pub item_type: String,
pub value: String,
pub file_path: String,
pub line_number: usize,
}Uygulama, desen eşleştirme için üç hedefli düzenli ifade kullanır. İlk olarak Ethereum özel anahtarları deseni kullanmayı hedefliyor "0x[0-9a-fA-F]{64}" Standart Ethereum özel anahtar formatlarını temsil eden 0x ile ön ek olan 64 karakter onaltılık dizeleri yakalamak için.
İkinci Regex "[1-9A-HJ-NP-Za-km-z]{32,44}" Solana adresleri ve genel anahtarlara özgü baz 58 kodlu dizeleri tanımlar ve Solana’nın şifreleme özelliklerini eşleştiren uzunluk kısıtlamaları.
Üçüncü desen [0x12, 0xAB, ...] veya [1,2,...] Ham anahtar bayt veya gömülü tohum ifadeleri içerebilir.
.webp)
Tarama işlevi eşleşen kalıpları tanımladığında, tam dosya yolu, satır numarası, eşleşen değer ve desen türünü içeren ayrıntılı adli kayıtlar oluşturur.
Bu kesin konum izleme, saldırganların takip operasyonları yürütmeyi veya çalınan kimlik bilgilerinin alıcılarına ayrıntılı zeka sağlamayı amaçlamış olabileceğini düşündürmektedir.
Kötü amaçlı yazılım, saldırganın komutuna ve kontrol altyapısına HTTP posta istekleri aracılığıyla iletilmeden önce JSON yüklerine birden fazla keşif topladı ve meşru ağ trafiği ile karıştırmak için standart HTTPS şifrelemesini kullanıyor.
Exfiltration mekanizması, yapılandırılmış verileri Cloudflare çalışanlarına barındıran uç noktaya gönderen bir pas reqwest istemcisi aracılığıyla çalışır.
Bu barındırma seçimi, saldırganlara adanmış sunucuları korumadan toplama altyapılarını hızla değiştirme yeteneği sağlar.
Kötü niyetli kasalar, derleme sırasında değil, uygulama çalışma zamanında dosyaları işler ve taramanın, kripto para birimi kimlik bilgilerinin en yüksek olduğu ve erişilebilir olduğu geliştiricilerin aktif çalışma ortamlarında gerçekleşmesini sağlar.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
