Kötü niyetli NPM paketleri Solana kullanıcılarının Özel Anahtarlarını çalıyor. Saldırganlar Açık Kaynak projelerini taklit ederek hırsızlık gerçekleştiriyor.
Kötü NPM paketi özel anahtar çalarak Solana kullanıcılarının varlıklarının çalınması olayı analizi
2 Temmuz 2025'te, bir kullanıcı güvenlik ekibinden yardım istedi ve kripto varlıklarının çalınma nedenini analiz etti. Olay, kullanıcının bir gün önce GitHub'da barındırılan açık kaynak projesini kullanmasıyla başladı.
Güvenlik ekibi hemen bir soruşturma başlattı. Projeye ait GitHub deposuna erişim sağlandığında, projenin Yıldız ve Fork sayısının yüksek olmasına rağmen, kod gönderim zamanlarının üç hafta önce yoğunlaştığı ve normal bir projenin sahip olması gereken sürekli güncelleme izinin eksik olduğu tespit edildi.
Node.js tabanlı bir proje olarak, güvenlik ekibi öncelikle bağımlılık paketlerini analiz etti. Projenin, NPM resmi olarak kaldırılan crypto-layout-utils adlı bir üçüncü taraf paketi referans aldığını keşfetti ve package.json dosyasında belirtilen sürüm NPM resmi geçmişinde yer almıyordu.
Daha fazla araştırma, saldırganların package-lock.json dosyasında crypto-layout-utils'ın indirme bağlantısını kendi kontrolündeki GitHub depo adresiyle değiştirdiğini ortaya çıkardı. Bu şüpheli bağımlılık paketini indirip analiz ettikten sonra, kodunun yüksek derecede bulanıklaştırıldığını tespit ettik.
Karmaşıklığı giderdikten sonra bunun kötü niyetli bir NPM paketi olduğunu doğruladık. Saldırgan, pakette kullanıcı bilgisayarındaki dosyaları tarama mantığını uyguladı. Cüzdan veya özel anahtar ile ilgili içerik bulunduğunda, bu bilgileri saldırganın kontrolündeki sunucuya yükleyecektir.
Proje yazarının, kötü niyetli projeleri Forklamak ve dağıtmak için bir grup GitHub hesabını kontrol ettiği, aynı zamanda projenin Fork ve Star sayısını artırarak daha fazla kullanıcıyı çekip kötü niyetli yazılımın yayılma alanını genişlettiği görülüyor.
Güvenlik ekibi, birçok Fork projesinde benzer kötü niyetli davranışlar tespit etti, bazı sürümler başka bir kötü niyetli paket olan bs58-encrypt-utils-1.0.3'ü kullanıyor. Bu kötü niyetli paket 12 Haziran 2025'te oluşturuldu, saldırganların o zamandan beri kötü niyetli NPM paketleri ve Node.js projeleri dağıtmaya başladığı tahmin ediliyor.
Zincir üzerindeki analiz araçları ile izleme sonucunda, saldırganların çalınan fonları bir ticaret platformuna taşıdığı tespit edildi.
Bu saldırıda, saldırganlar meşru bir açık kaynak projesi kılığına girerek kullanıcıları kötü amaçlı kodlar indirmeye ve çalıştırmaya teşvik etti. Saldırganlar, projelerin popülaritesini artırarak kullanıcıların savunmasız bir şekilde kötü amaçlı bağımlılıklar içeren Node.js projelerini çalıştırmalarını sağladı ve bu da cüzdanın Özel Anahtarının sızmasına ve varlıkların çalınmasına yol açtı.
Saldırılar, birden fazla GitHub hesabının işbirliğiyle gerçekleştirildiği için yayılma alanını genişletti, güvenilirliğini artırdı ve son derece aldatıcı bir nitelik kazandı. Bu tür saldırılar, sosyal mühendislik ve teknik yöntemleri birleştiriyor, bu nedenle organizasyon içinde bile tamamen savunmak zor.
Geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine özellikle cüzdan veya özel anahtar işlemleri söz konusu olduğunda son derece dikkatli olmaları önerilir. Hata ayıklama işlemi yapmanız gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda gerçekleştirmeniz önerilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
6
Share
Comment
0/400
ForeverBuyingDips
· 13h ago
Yine bir abi enayi yerine konuldu.
View OriginalReply0
MetaMuskRat
· 13h ago
enayiler içinde en çok acı çekenler star partisi oldu.
View OriginalReply0
GateUser-beba108d
· 13h ago
Yine enayiler insanları enayi yerine koymak oldu~
View OriginalReply0
WalletDivorcer
· 13h ago
Para tamamen çalındı, boşuna gitti.
View OriginalReply0
MiningDisasterSurvivor
· 13h ago
Bir başka grup enayi, 2018'deki tuzağa tıpatıp benziyor.
Kötü niyetli NPM paketleri Solana kullanıcılarının Özel Anahtarlarını çalıyor. Saldırganlar Açık Kaynak projelerini taklit ederek hırsızlık gerçekleştiriyor.
Kötü NPM paketi özel anahtar çalarak Solana kullanıcılarının varlıklarının çalınması olayı analizi
2 Temmuz 2025'te, bir kullanıcı güvenlik ekibinden yardım istedi ve kripto varlıklarının çalınma nedenini analiz etti. Olay, kullanıcının bir gün önce GitHub'da barındırılan açık kaynak projesini kullanmasıyla başladı.
Güvenlik ekibi hemen bir soruşturma başlattı. Projeye ait GitHub deposuna erişim sağlandığında, projenin Yıldız ve Fork sayısının yüksek olmasına rağmen, kod gönderim zamanlarının üç hafta önce yoğunlaştığı ve normal bir projenin sahip olması gereken sürekli güncelleme izinin eksik olduğu tespit edildi.
Node.js tabanlı bir proje olarak, güvenlik ekibi öncelikle bağımlılık paketlerini analiz etti. Projenin, NPM resmi olarak kaldırılan crypto-layout-utils adlı bir üçüncü taraf paketi referans aldığını keşfetti ve package.json dosyasında belirtilen sürüm NPM resmi geçmişinde yer almıyordu.
Daha fazla araştırma, saldırganların package-lock.json dosyasında crypto-layout-utils'ın indirme bağlantısını kendi kontrolündeki GitHub depo adresiyle değiştirdiğini ortaya çıkardı. Bu şüpheli bağımlılık paketini indirip analiz ettikten sonra, kodunun yüksek derecede bulanıklaştırıldığını tespit ettik.
Karmaşıklığı giderdikten sonra bunun kötü niyetli bir NPM paketi olduğunu doğruladık. Saldırgan, pakette kullanıcı bilgisayarındaki dosyaları tarama mantığını uyguladı. Cüzdan veya özel anahtar ile ilgili içerik bulunduğunda, bu bilgileri saldırganın kontrolündeki sunucuya yükleyecektir.
Proje yazarının, kötü niyetli projeleri Forklamak ve dağıtmak için bir grup GitHub hesabını kontrol ettiği, aynı zamanda projenin Fork ve Star sayısını artırarak daha fazla kullanıcıyı çekip kötü niyetli yazılımın yayılma alanını genişlettiği görülüyor.
Güvenlik ekibi, birçok Fork projesinde benzer kötü niyetli davranışlar tespit etti, bazı sürümler başka bir kötü niyetli paket olan bs58-encrypt-utils-1.0.3'ü kullanıyor. Bu kötü niyetli paket 12 Haziran 2025'te oluşturuldu, saldırganların o zamandan beri kötü niyetli NPM paketleri ve Node.js projeleri dağıtmaya başladığı tahmin ediliyor.
Zincir üzerindeki analiz araçları ile izleme sonucunda, saldırganların çalınan fonları bir ticaret platformuna taşıdığı tespit edildi.
Bu saldırıda, saldırganlar meşru bir açık kaynak projesi kılığına girerek kullanıcıları kötü amaçlı kodlar indirmeye ve çalıştırmaya teşvik etti. Saldırganlar, projelerin popülaritesini artırarak kullanıcıların savunmasız bir şekilde kötü amaçlı bağımlılıklar içeren Node.js projelerini çalıştırmalarını sağladı ve bu da cüzdanın Özel Anahtarının sızmasına ve varlıkların çalınmasına yol açtı.
Saldırılar, birden fazla GitHub hesabının işbirliğiyle gerçekleştirildiği için yayılma alanını genişletti, güvenilirliğini artırdı ve son derece aldatıcı bir nitelik kazandı. Bu tür saldırılar, sosyal mühendislik ve teknik yöntemleri birleştiriyor, bu nedenle organizasyon içinde bile tamamen savunmak zor.
Geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine özellikle cüzdan veya özel anahtar işlemleri söz konusu olduğunda son derece dikkatli olmaları önerilir. Hata ayıklama işlemi yapmanız gerekiyorsa, bağımsız ve hassas veri içermeyen bir ortamda gerçekleştirmeniz önerilir.