npm'deki Injective SDK Kütüphanesine Kripto Cüzdan Hırsızı Bulaştı Siber Güvenlik

npm'deki Injective SDK Kütüphanesine Kripto Cüzdan Hırsızı Bulaştı

Saldırganlar, Injective Labs SDK'nın GitHub reposunu ele geçirerek npm'e kötü amaçlı bir paket yayınladı ve kripto cüzdan anahtarlarını çaldı.

Kripto para dünyasında yeni bir tedarik zinciri saldırısı yaşandı. Saldırganlar, Injective Labs SDK projesinin GitHub deposunu ele geçirerek Node Package Manager (npm) üzerinden kötü amaçlı bir paket yayınladı. Bu paket, geliştiricilerin kripto para cüzdanlarının özel anahtarlarını ve anımsatıcı (mnemonic) tohum ifadelerini çalmayı hedefliyordu. Saldırı, uygulama güvenliği şirketleri Socket, Ox Security ve StepSecurity tarafından tespit edildi.

Saldırı, @injectivelabs/sdk-ts npm paketinin 1.20.21 sürümü üzerinden gerçekleştirildi. Injective SDK, Injective blokzinciri üzerinde uygulamalar geliştirmek için kullanılan bir TypeScript/JavaScript yazılım geliştirme kitidir. Injective, merkeziyetsiz finans (DeFi), tokenize varlıklar ve merkeziyetsiz borsalar odaklı bir Layer-1 blokzinciridir. Paket, npm'de haftalık 50.000 indirme sayısına sahip ve kripto para cüzdanları, ticaret botları, merkeziyetsiz borsalar, DeFi uygulamaları ve ödeme araçları geliştirenler tarafından kullanılıyor.

Araştırmacılara göre, saldırgan, projeye meşru bir katkıda bulunan kişiye ait bir GitHub hesabını ele geçirdi. İlk şüpheli işlemler 8 Haziran'da yapıldı ve kısa süre sonra kötü amaçlı paket sürümü yayınlandı. Saldırgan, projeyle ilişkili diğer 17 paket için de aynı sürümü (1.20.21) yayınladı ve tümünü tehlikeye atılmış SDK sürümüne sabitledi. Hesap sahibi, ele geçirme olayını dakikalar içinde fark ederek değişiklikleri geri aldı ve temiz bir sürüm olan 1.20.23'ü yayınladı. Ancak, kötü amaçlı paketi güncelleme yoluyla çeken veya kullanan geliştirici sistemleri tehlikeye girmiş olabilir.

Detaylar ve Etkileri

Socket'in raporuna göre, kötü amaçlı paket sürümü kullanımdan kaldırılmadan önce 310 kez indirildi. Paket tamamen kaldırılmadı ve kötü amaçlı GitHub sürüm yapıtları hâlâ erişilebilir durumda. Ayrıca, paketin npm'de 87 doğrudan bağımlılığı ve büyük olasılıkla çok sayıda geçişli bağımlılığı bulunuyor. Ox Security'nin raporu, bu 87 bağımlı paketin toplam indirme sayısının 112.000'in biraz üzerinde olduğunu belirtiyor.

Kötü amaçlı yazılım, kurulum sırasında değil, geliştiricilerin SDK işlevlerini kullanarak cüzdan anahtarları oluşturması veya içe aktarmasıyla etkinleşiyor. Bu işlevler çağrıldığında, kötü amaçlı yazılım tam anımsatıcı tohum ifadesini ve özel anahtarı yakalayarak base64 formatında kodluyor. Tüm bilgiler, trafiğin meşru görünmesi için Injective Labs'ın genel altyapı uç noktasına bir HTTP POST isteğiyle sızdırılıyor. StepSecurity, kötü amaçlı yazılımın çalınan sırları hemen iletmediğini, bunun yerine birden fazla anahtarı ve anımsatıcıyı iki saniye boyunca sıraya koyduğunu, ardından HTTP istek başlığında paketleyip gönderdiğini bildirdi.

Teknik Analiz

Saldırganlar, çalınan anımsatıcı veya özel anahtarı kullanarak kurbanın cüzdanlarını kendi cihazlarına taşıyabilir ve dijital varlıklara erişebilir, kullanabilir veya transfer edebilir. Geliştiriciler, sistemlerinin tehlikeye girdiğinden şüpheleniyorsa, kripto paralarını yeni cüzdanlara taşımalı ve ortamlarındaki tüm sırları döndürmelidir. Bu saldırı, yazılım tedarik zinciri güvenliğinin ne kadar kritik olduğunu bir kez daha gözler önüne seriyor. Geliştiricilerin, kullandıkları kütüphanelerin kaynağını doğrulaması ve güncellemeleri dikkatle incelemesi büyük önem taşıyor.

Kaynak: bleepingcomputer.com

Paylaş: