Tehdit aktörleri, özellikle kripto para birimi yazılımını hedefleyen güvenilir uygulamalara kötü amaçlı kod yüklemek için açık kaynaklı yazılım (OSS) depolarını kullanıyor.
ReversingLabs (RL) araştırma ekibi, saldırganların NPM gibi depolara görünüşte meşru paketler yükledikleri ve daha sonra kullanıcıların kripto cüzdan yazılımının yerel kurulumlarına kötü niyetli “yamalar” enjekte ettikleri bir model belirledi.
Açık Kaynak Paketleri Kaçırma
En son şema, PDF dosyalarını Microsoft Office formatlarına dönüştürmek için bir yardımcı program olarak tanıtılan “PDF-Office” adlı bir paket içeriyordu.
.png
)
Ancak bu paket, birincil işlevi meşru yazılımı değiştirmektir.
Yürütme üzerine, özellikle atom cüzdanı ve Çıkış cüzdanını hedefledi, kripto para işlemlerini saldırganların cüzdanlarına yönlendirmek için truva atışlarına sahip anahtar dosyaların üzerine yazdı.
Saldırganlar stratejilerini tespitten kaçınmak için uyarladılar. RL’nin Aralık ayında benzer bir kampanya hakkındaki raporunu takiben, hızla fark edilen ve hafifletilen Python AI Kütüphanesi Ultralitiklerini içeren tehdit aktörleri daha ince yaklaşımlar geliştirdi.
Geri ihlal edilen paketler artık düzenli güncellemelerle karışmaya çalışıyor, bu da tespit ve yanıtı daha zor hale getiriyor.
Belirli hedefler ve teknikler
“PDF-Office” deki kötü amaçlı kod, atom cüzdanının belirli sürümleriyle etkileşime girecek şekilde uyarlandı ve yazılımın mimarisinin nüanslı bir anlayışını gösterdi.
Saldırganlar, farklı sürümler için saldırı stratejisini değiştirerek kodun atomik cüzdan sürümleri 2.90.6 ve 2.91.5 arasındaki dosya yapısındaki değişikliklere uyum sağlayabilmesini sağladı.
Bu titiz hedefleme, tehdit aktörleri tarafından önemli bir keşif ve hazırlık seviyesini göstermektedir.
Buna ek olarak, kampanya sadece fon çalmayı değil, aynı zamanda pistleri kapsamakla da uğraştı.
Saldırganlar, bir uzaktan erişim aracı olan Anydesk’ten günlükler topladı ve daha fazla bilgi toplama veya saldırılarının kanıtlarını ortadan kaldırma çabaları önerdi.
Kötü niyetli paketin kaldırılmasından sonra bile bu saldırıların kalıcılığı ciddi bir güvenlik riski oluşturmaktadır.
Meyveden çıkarılan cüzdan uygulamaları tamamen kaldırılmadığı ve yeniden yüklenmediği sürece, kötü amaçlı kod aktif olarak kalır ve sürekli olarak saldırganların cüzdanlarına fonlar sifon eder.
Özellikle kripto para birimi sektöründe, yazılım tedarik zincirlerine saldırma eğilimi, büyüyen bir tehdit manzarasının altını çizmektedir.
RL’nin 2025 yazılım tedarik zinciri güvenlik raporu, bu risklerin genişleyen kapsamını vurgular ve yazılım güncellemelerinin ve yerel dağıtımların izlenmesi gerektiğini vurgular.
Kuruluşlar artık sadece dış tehditler için değil, aynı zamanda zaten güvendikleri yazılımlardaki ince değişiklikler için de uyanık kalmalıdır.
Kampanyaya bağlı SHA1 karmalar ve IP adresleri de dahil olmak üzere RL tarafından sağlanan uzlaşma göstergeleri (IOC’ler), siber güvenlik ekiplerinin bu gelişmiş kalıcı tehditleri tespit etmesi ve azaltması için çok önemlidir.
Bu olay, siber suçlardaki gelişen stratejilerin kesin bir hatırlatıcısı olarak hizmet eder ve kripto para birimi topluluğu ve ötesindeki güvenlik uygulamalarına derhal dikkat çekmeyi gerektirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!