Bir yazılım tedarik zinciri saldırısı, Solana’nın web3.js kütüphanesinin kötü amaçlı sürümlerinin npm kayıt defterinde yayınlanmasına yol açtı.
Tıpkı son Lottie Player tedarik zinciri ihlali gibi, bu saldırının da npm.js hesap bilgilerinin ele geçirilmesi (kimlik avı) nedeniyle mümkün olduğu bildirildi.
Ne oldu?
“Bugün erken saatlerde, Solana tarafından yaygın olarak kullanılan bir JavaScript kitaplığı olan @solana/web3.js’nin yayınlama erişim hesabının güvenliği ihlal edildi [decentralized apps]. Bu, bir saldırganın, özel anahtar malzemesini çalmasına ve özel anahtarları doğrudan işleyen dapp’lerden (dapp’ler) fonları boşaltmasına olanak tanıyarak, değiştirilmiş yetkisiz ve kötü amaçlı paketleri yayınlamasına olanak tanıdı,” kütüphanenin bakımcılarından biri olan Steven Luscher Salı günü bunu doğruladı.
“Bu, Solana protokolünün kendisiyle ilgili bir sorun değil, belirli bir JavaScript istemci kitaplığıyla ilgili bir sorun ve yalnızca özel anahtarları doğrudan işleyen ve Aralık Salı günü 15:20 UTC ve 20:25 UTC penceresi içinde güncellenen projeleri etkiliyor gibi görünüyor 2, 2024.”
Kütüphanenin 1.95.6 ve 1.95.7 sürümleri ele geçirilmiş ve “yayından kaldırılmıştır”. Sürüm 1.95.8, Solana uygulama geliştiricilerinin yükseltme yapması istenen “temiz” sürümdür.
Luscher, “Kendilerinin ele geçirilmiş olabileceğinden şüphelenen geliştiricilerin, çoklu imzalar, program yetkilileri, sunucu anahtar çiftleri vb. dahil olmak üzere şüpheli tüm yetki anahtarlarını döndürmesi gerekir” diye bitirdi.
Etki
SaaS bulut izleme şirketi Datadog’da güvenlik araştırmacısı olan Christophe Tafani-Dereeper, ele geçirilen kitaplık sürümlerine enjekte edilen kötü amaçlı kodun CloudFlare başlıkları aracılığıyla özel anahtarı nasıl sızdırdığını açıkladı.
Helius CEO’su Mert Mumtaz’a göre büyük cüzdanlar ve uygulamalar etkilenmemiş gibi görünse de bu saldırının etkisi henüz hissedilmedi.
“Genel olarak, özel anahtarları açığa çıkarmadıkları için cüzdanlar etkilenmemelidir – en büyük etki, JS botlarını arka uçta çalıştıran (yani kullanıcıya dönük olmayan) ve bu sunucularda özel anahtarları olan *eğer* güncelleme yapmışlarsa olacaktır. Bu sürüm belirli bir zaman dilimi içinde (yamaya kadar son birkaç saat içinde)” dedi.
“Solana geliştiricisiyseniz, bu sürümleri şimdi veya gelecekte kullanmadığınızdan emin olmak için paketlerinizi ŞİMDİ kontrol edin – özellikle otomasyonları kontrol edin.”