Yeni bir siber saldırı, kullanıcılar işlem gönderirken kripto para çalıyor ve birçok uzman bunu tarihteki en büyük tedarik zinciri saldırısı olarak adlandırıyor. Saldırganlar, kimlik avı e-postaları kullanarak npm paket yöneticisi hesaplarına girdi. Bu e-postalar, gerçek npm kaydını kopyalayan “[email protected]” adresinden gelmiş gibi görünüyordu. Mesajlar, geliştiricilere iki faktörlü kimlik doğrulamalarını güncellemedikleri takdirde hesaplarının kilitleneceğini söylüyordu. Bakımcılar bağlantıyı tıkladığında, saldırganlar oturum açma bilgilerini ele geçirdi ve popüler npm paketlerinin içine kötü amaçlı yazılım yerleştirdi.
Chalk, debug ve ansi-styles dahil olmak üzere yaygın olarak kullanılan on sekiz JavaScript kütüphanesi tehlikeye girdi. Bu paketler birlikte her hafta milyarlarca kez indiriliyor ve dünyanın dört bir yanındaki geliştiriciler tarafından kullanılıyor. Bu, tüm JavaScript ekosisteminin risk altında olabileceği anlamına geliyor. BleepingComputer, saldırganların bu kütüphanelere tarayıcı tabanlı bir yakalayıcı gibi davranan kod enjekte ettiğini bildirdi. Bu kod, ağ trafiğini izledi ve Bitcoin, Ethereum, Solana, Tron, Litecoin ve Bitcoin Cash üzerinden kripto para işlemlerini aradı. Birisi bir transfer gönderdiğinde, kötü amaçlı yazılım, işlem imzalanmadan önce gerçek cüzdan adresini, korsanların kontrol ettiği bir adrese değiştirdi.
Güvenlik araştırmacısı Charlie Eriksen, kötü amaçlı yazılımın çeşitli şekillerde çalıştığını açıkladı. Web sitelerinde gösterilenleri değiştiriyor, API çağrılarına müdahale ediyor ve uygulamaları kullanıcının amaçlamadığı işlemleri imzalamaya zorluyor. Ledger’ın CTO’su Charles Guillemet, saldırının hala aktif olduğu konusunda uyardı ve kripto para kullanıcılarının yalnızca yazılım cüzdanları kullanıyorlarsa zincir içi işlemler yapmaktan kaçınmaları gerektiğini söyledi. Donanım cüzdanı kullanıcıları, imzalamadan önce ayrıntıları kontrol ederek kendilerini koruyabilir, ancak donanım cüzdanı olmayan herkes daha yüksek riskle karşı karşıyadır.
Araştırmacılar ayrıca, kimlik avı altyapısının çalınan ayrıntıları “websocket-api2.publicvm.com” adresine gönderdiğini buldu. Bu, saldırının iyi koordine edildiğini gösteriyor. Bu, bu yılın başlarındaki diğer npm olaylarını takip ediyor; Mart ayında ethers paketini ters kabukla yamayan bir olay ve Temmuz ayında eslint-config-prettier’ı hedef alan bir olay. Kampanya gelişmeye devam ediyor ve bu sefer saldırganlar, Ethereum akıllı sözleşmelerini yeni bir şekilde kullandılar. colortoolsv2 ve mimelib2 adlı iki npm paketi, Ethereum akıllı sözleşmelerinin içine kötü amaçlı komutlar gizledi. İndirildikten sonra paketler, tespit edilmesini zorlaştıran ikinci aşama kötü amaçlı yazılımı kurdu.
Ethereum akıllı sözleşmeleri, blok zincirinde çalışan küçük programlardır. Bunlar halka açıktır ve açık API’ler gibi davranırlar. Bu durumda, bilgisayar korsanları, kötü amaçlı yazılımı indirmek için bağlantıları depolamak için bunları kullandılar, bu nedenle birisi paketi kontrol etse bile tehlikeli kodu göremeyebilir. Bu yaratıcı komuta ve kontrol yöntemi, tehdit aktörlerinin tespit edilmekten kaçınmak için nasıl uyum sağladığını gösteriyor.
Saldırganlar ayrıca GitHub depolarını güvenilir göstermeye çalıştılar. solana-trading-bot-v2 ve ethereum-mev-bot-v2 gibi sahte projeler oluşturdular. Bunlar birçok yıldıza, izleyiciye ve commite sahipti, ancak bu aktivitenin çoğu sahteydi. Hesaplar aynı anda oluşturuldu, genellikle yalnızca bir dosya ile ve otomatik commitler sayıları şişirdi. Bu sosyal mühendislik hilesi, kötü amaçlı npm paketlerini çalışmalarına dahil edebilecek geliştiriciler için depoları gerçek gibi gösterdi.
Uzmanlar, tedarik zinciri saldırılarının özellikle tehlikeli olduğunu, çünkü güvenilir araçları hedef aldığını belirtiyor. Kötü amaçlı yazılımı açık kaynaklı kütüphanelerin içine gizleyerek, bilgisayar korsanları aynı anda milyonlarca geliştiriciye ve son kullanıcıya ulaşabilir. Sadece bu yıl, araştırmacılar npm, GitHub ve PyPI’de kripto para çalmayı amaçlayan yirmiden fazla kampanya buldu. Bazıları bilgi hırsızları kullandı, diğerleri madeni para madencileri dağıttı ve çoğu hassas verileri yakalamak için kimlik avına güvendi.
Şüpheli alan adları, gizlenmiş kod ve sahte depolar gibi Uzlaşma Göstergeleri (IOC’ler), güvenlik ekiplerinin bu tehditleri tespit etmesine yardımcı olur. Yine de, birçok kullanıcı fonlar gidene kadar fark etmeyecektir. Şimdilik geliştiricilerin, kullanmadan önce paketleri, bakımcıları ve kodu dikkatlice kontrol etmeleri gerekiyor. Kripto para kullanıcıları donanım cüzdanlarını değerlendirmeli ve tehdit kontrol altına alınana kadar büyük transferler yapmaktan kaçınmalıdır. Saldırı, siber suçun ne kadar hızlı geliştiğini ve hem yazılım tedarik zincirlerini hem de dijital varlıkları güvence altına almanın ne kadar önemli olduğunu gösteriyor.
