Injective SDK NPM Paketine Bulaşan Kripto Para Cüzdanı Hırsızı: 310 Kez İndirildi Dünya Geneli

Injective SDK NPM Paketine Bulaşan Kripto Para Cüzdanı Hırsızı: 310 Kez İndirildi

Saldırganlar Injective Labs SDK GitHub deposunu ele geçirerek npm'de kötü amaçlı paket yayınladı. Paket, kripto para cüzdan özel anahtarlarını ve tohu

Kripto para dünyası, bir tedarik zinciri saldırısıyla sarsıldı. Saldırganlar, Injective Labs SDK projesinin GitHub deposunu ele geçirerek Node Package Manager (npm) üzerinde kötü amaçlı bir paket yayınladı. Bu paket, geliştiricilerin kripto para cüzdan özel anahtarlarını ve anımsatıcı tohum ifadelerini (mnemonic seed phrase) çalmayı hedefliyor. Güvenlik şirketleri Socket, Ox Security ve StepSecurity, saldırıyı @injectivelabs/sdk-ts npm paketinin 1.20.21 sürümünde tespit etti. Injective SDK, Injective blok zinciri üzerinde uygulama geliştirmek için kullanılan bir TypeScript/JavaScript yazılım geliştirme kiti (SDK). Injective, merkezi olmayan finans (DeFi), tokenize varlıklar ve merkezi olmayan borsalara odaklanan bir Katman-1 blok zinciri.

Paketin npm'de haftalık 50.000 indirme sayısı var ve kripto para cüzdanları, ticaret botları, merkezi olmayan borsalar, DeFi uygulamaları ve ödeme araçları geliştiren geliştiriciler tarafından kullanılıyor. Araştırmacılara göre saldırgan, projeye katkıda bulunan meşru bir hesabın GitHub hesabını ele geçirdi. İlk şüpheli işlemler 8 Haziran'da yapıldı ve kısa süre sonra kötü amaçlı paket sürümü yayınlandı. Saldırgan ayrıca projeyle ilişkili diğer 17 paket için de 1.20.21 sürümünü yayınlayarak hepsini ele geçirilen SDK sürümüne bağladı. Hesap sahibi, ele geçirildiğini birkaç dakika içinde fark etti, değişiklikleri geri aldı ve temiz bir sürüm olan 1.20.23'ü yayınladı.

Ancak, güncelleme sırasında kötü amaçlı paketleri çeken veya kullanan geliştirici sistemleri tehlikeye girmiş olabilir. Socket, kötü amaçlı paket sürümünün kullanımdan kaldırılmadan (kaldırılmadı, sadece devre dışı bırakıldı) önce 310 kez indirildiğini belirtiyor. Kötü amaçlı GitHub sürüm yapıtları hâlâ mevcut. Araştırmacılar ayrıca paketin npm'de 87 doğrudan bağımlılığı olduğunu ve büyük olasılıkla birden fazla geçişli bağımlılığı bulunduğunu vurguluyor. Ox Security'den bir rapor, bu 87 bağımlı paketin toplam indirme sayısının 112.000'in biraz üzerinde olduğu konusunda uyarıyor.

Sonuç ve Değerlendirme

Kötü amaçlı yazılım, kurulum sırasında değil, geliştiricilerin SDK işlevlerini kullanarak cüzdan anahtarları oluşturması veya içe aktarması durumunda etkinleşiyor. Bu işlevler çağrıldığında, kötü amaçlı yazılım tam anımsatıcı tohum ifadesini ve özel anahtarı yakalayıp base64 formatında kodluyor. Tüm bilgiler, trafiği meşru göstermek için Injective Labs genel altyapı uç noktasına bir HTTP POST isteğiyle sızdırılıyor. StepSecurity, kötü amaçlı yazılımın çalınan sırları hemen iletmediğini, bunun yerine birden fazla anahtarı ve anımsatıcıyı iki saniye boyunca kuyruğa aldığını, HTTP istek başlığına ekleyip gönderdiğini bildiriyor. Saldırganlar daha sonra anımsatıcı veya özel anahtarı kullanarak kurbanın cüzdanlarını kendi cihazlarına aktarabilir ve dijital varlıklarına erişebilir, kullanabilir veya transfer edebilir.

Geliştiricilerin, şüpheli durumda kripto paralarını yeni cüzdanlara aktarmaları ve ortamlarındaki tüm sırları (API anahtarları, tokenlar vb.) değiştirmeleri öneriliyor. Bu saldırı, tedarik zinciri güvenliğinin ne kadar kritik olduğunu bir kez daha gösteriyor. npm gibi paket yöneticileri, geliştiricilerin bağımlılıkları dikkatlice denetlemesi ve yalnızca güvenilir kaynaklardan gelen güncellemeleri kullanması gerektiğini hatırlatıyor. Ayrıca, GitHub hesaplarının güçlü parolalar ve iki faktörlü kimlik doğrulama ile korunması, bu tür saldırıları önlemede hayati önem taşıyor.

Teknik Analiz

Injective Labs, saldırıyı hızlıca fark edip temiz sürümü yayınlamış olsa da, 310 indirme sayısı göz önüne alındığında, birçok geliştiricinin etkilenmiş olabileceği düşünülüyor. Kripto para dünyasında güvenlik açıkları, kullanıcıların fonlarını doğrudan tehdit ediyor. Bu tür saldırılardan korunmak için geliştiricilerin, kullandıkları SDK'ların ve bağımlılıkların güncel ve güvenli olduğundan emin olmaları, ayrıca paket bütünlüğünü doğrulamak için hash kontrolü gibi yöntemleri kullanmaları önerilir.

Kaynak: bleepingcomputer.com

Paylaş: