Kötü Niyetli Node.js Projeleri NPM Paketlerini Kullanarak Solana Kullanıcılarının Özel Anahtarlarını Çalıyor
2025 yılının Temmuz ayının başında, Solana kullanıcılarına yönelik bir varlık hırsızlığı olayı güvenlik uzmanlarının dikkatini çekti. Bir mağdur, GitHub'ta barındırılan açık kaynak projesi "solana-pumpfun-bot" kullanmasının ardından kripto varlıklarının çalındığını fark etti.
Güvenlik ekibi araştırma yaptıktan sonra, projenin aslında dikkatlice tasarlanmış bir tuzak olduğunu keşfetti. Projenin Star ve Fork sayısı yüksek olmasına rağmen, kod gönderim zamanları anormal bir şekilde yoğunlaşmış ve normal projelerin sahip olması gereken sürekli güncellemelerden yoksun.
Derinlemesine analiz, projenin "crypto-layout-utils" adında şüpheli bir üçüncü taraf pakete bağımlı olduğunu ortaya koydu. Bu paket NPM resmi olarak kaldırılmıştır ve belirlenen versiyon resmi geçmişte görünmemektedir. Saldırganlar, package-lock.json dosyasındaki indirme bağlantısını değiştirerek NPM'in güvenlik mekanizmasını atlattılar.
Bu yüksek derecede karmaşık kötü niyetli paketi indirdikten ve analiz ettikten sonra, güvenlik ekibi bunun kullanıcı bilgisayarındaki dosyaları tarayabildiğini ve bir cüzdan veya Özel Anahtar ile ilgili içerik bulduğunda bunu saldırganların kontrolündeki sunucuya yükleyeceğini doğruladı.
Ayrıca, saldırganlar birden fazla GitHub hesabını kontrol ediyor olabilir, bu da kötü amaçlı yazılımları dağıtmak ve projelerin güvenilirliğini artırmak için kullanılıyor. Bazı Fork projelerinde ayrıca başka bir kötü amaçlı paket "bs58-encrypt-utils" kullanılmıştır.
Zincir üstü analizle, uzmanlar çalınan fonların belirli bir ticaret platformuna aktarıldığını tespit etti.
Bu olay, açık kaynak projelerinde gizli kötü amaçlı kodların tehlikesini vurgulamaktadır. Saldırganlar, meşru projeleri gizleyerek ve yüksek popülariteye ulaşarak, kullanıcıları kötü amaçlı bağımlılıklar içeren Node.js projelerini çalıştırmaya başarılı bir şekilde ikna etmiş, bu da Özel Anahtarların sızmasına ve varlıkların çalınmasına yol açmıştır.
Güvenlik uzmanları, geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı dikkatli olmalarını öneriyor, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda. Hata ayıklama gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmak en iyisidir.
Bu tür saldırılar, sosyal mühendislik ve teknik yöntemleri birleştirir; bu nedenle, organizasyon içinde bile tamamen savunmak zor olabilir. Kullanıcılar, varlık güvenliğini korumak için açık kaynak projeleri kullanırken dikkatli olmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Kötü niyetli NPM paketleri Solana projelerini gizleyerek kullanıcıların Özel Anahtarlarını çalarak güvenlik alarmı tetikledi
Kötü Niyetli Node.js Projeleri NPM Paketlerini Kullanarak Solana Kullanıcılarının Özel Anahtarlarını Çalıyor
2025 yılının Temmuz ayının başında, Solana kullanıcılarına yönelik bir varlık hırsızlığı olayı güvenlik uzmanlarının dikkatini çekti. Bir mağdur, GitHub'ta barındırılan açık kaynak projesi "solana-pumpfun-bot" kullanmasının ardından kripto varlıklarının çalındığını fark etti.
Güvenlik ekibi araştırma yaptıktan sonra, projenin aslında dikkatlice tasarlanmış bir tuzak olduğunu keşfetti. Projenin Star ve Fork sayısı yüksek olmasına rağmen, kod gönderim zamanları anormal bir şekilde yoğunlaşmış ve normal projelerin sahip olması gereken sürekli güncellemelerden yoksun.
Derinlemesine analiz, projenin "crypto-layout-utils" adında şüpheli bir üçüncü taraf pakete bağımlı olduğunu ortaya koydu. Bu paket NPM resmi olarak kaldırılmıştır ve belirlenen versiyon resmi geçmişte görünmemektedir. Saldırganlar, package-lock.json dosyasındaki indirme bağlantısını değiştirerek NPM'in güvenlik mekanizmasını atlattılar.
Bu yüksek derecede karmaşık kötü niyetli paketi indirdikten ve analiz ettikten sonra, güvenlik ekibi bunun kullanıcı bilgisayarındaki dosyaları tarayabildiğini ve bir cüzdan veya Özel Anahtar ile ilgili içerik bulduğunda bunu saldırganların kontrolündeki sunucuya yükleyeceğini doğruladı.
Ayrıca, saldırganlar birden fazla GitHub hesabını kontrol ediyor olabilir, bu da kötü amaçlı yazılımları dağıtmak ve projelerin güvenilirliğini artırmak için kullanılıyor. Bazı Fork projelerinde ayrıca başka bir kötü amaçlı paket "bs58-encrypt-utils" kullanılmıştır.
Zincir üstü analizle, uzmanlar çalınan fonların belirli bir ticaret platformuna aktarıldığını tespit etti.
Bu olay, açık kaynak projelerinde gizli kötü amaçlı kodların tehlikesini vurgulamaktadır. Saldırganlar, meşru projeleri gizleyerek ve yüksek popülariteye ulaşarak, kullanıcıları kötü amaçlı bağımlılıklar içeren Node.js projelerini çalıştırmaya başarılı bir şekilde ikna etmiş, bu da Özel Anahtarların sızmasına ve varlıkların çalınmasına yol açmıştır.
Güvenlik uzmanları, geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı dikkatli olmalarını öneriyor, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda. Hata ayıklama gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmak en iyisidir.
Bu tür saldırılar, sosyal mühendislik ve teknik yöntemleri birleştirir; bu nedenle, organizasyon içinde bile tamamen savunmak zor olabilir. Kullanıcılar, varlık güvenliğini korumak için açık kaynak projeleri kullanırken dikkatli olmalıdır.