Solana kullanıcı varlıklarının çalınması olayı analizi: Kötü niyetli NPM paketi Özel Anahtar çalıyor
2025 yılının Temmuz ayı başında, bir kullanıcı güvenlik ekibine başvurarak GitHub'da solana-pumpfun-bot adlı açık kaynak projesini kullanmasının ardından kripto varlıklarının çalındığını bildirdi. Yapılan araştırmalar bu olayın, kötü niyetli NPM paketleri, sahte GitHub projeleri ve sosyal mühendislik yöntemlerini içeren titiz bir saldırı zincirini ortaya çıkardığını gösterdi.
Olay Araştırması
Güvenlik ekibi, ilgili GitHub deposuna erişim sağladı ve projenin yüksek sayıda Yıldız ve Fork'a sahip olmasına rağmen, kod güncellemelerinin anormal bir şekilde yoğunlaştığını ve sürekli bakım özelliklerinden yoksun olduğunu tespit etti. Daha kapsamlı bir analiz, projenin NPM resmi olarak kaldırılan şüpheli bir üçüncü taraf paketi olan crypto-layout-utils'a bağımlı olduğunu ortaya koydu.
package-lock.json dosyasını kontrol ederek, araştırmacılar saldırganların crypto-layout-utils'in indirme bağlantısını bir GitHub sürüm adresiyle değiştirdiğini keşfettiler. Bu yüksek derecede obfuscate edilmiş bağımlılığı indirdikten ve analiz ettikten sonra, kullanıcı bilgisayarındaki dosyaları tarama ve hassas bilgileri yükleme işlevine sahip kötü niyetli bir kod olduğu doğrulandı.
Saldırı Yöntemleri
Saldırganların birden fazla GitHub hesabını kontrol ettiği ve kötü niyetli projeleri dağıtmak ve bunların güvenilirliğini artırmak için kullandığı iddia ediliyor. Projelerin popülerliğini artırmak için Fork ve Star işlemleriyle daha fazla kullanıcıyı çekmeye çalışıyorlar. crypto-layout-utils dışında, saldırıya katılan başka bir kötü niyetli paket olan bs58-encrypt-utils da keşfedildi.
Blockchain analiz araçlarını kullanarak, çalınan fonların nihayetinde bir ticaret platformuna yönlendirildiği tespit edildi.
Özet ve Öneriler
Bu saldırı, teknik yöntemler ile sosyal mühendislik stratejilerini ustaca birleştirdi. Saldırganlar, meşru açık kaynak projelerini taklit ederek kullanıcıları kötü amaçlı bağımlılıklar içeren Node.js programını indirmeye ve çalıştırmaya teşvik ederek cüzdan Özel Anahtarlarını ve varlıklarını çalmaktadır.
Benzer saldırıları önlemek için geliştiricilere ve kullanıcılara önerilir:
Kaynağı belirsiz GitHub projelerine yüksek derecede dikkat edin, özellikle cüzdan veya Özel Anahtar işlemleriyle ilgili projelerde.
Tanımadığınız kodu bağımsız ve hassas verilerden uzak bir ortamda çalıştırın ve hata ayıklayın.
Proje bağımlılıklarını düzenli olarak kontrol edin ve resmi olarak onaylanmış paketleri kullandığınızdan emin olun.
Projelerin güncelleme geçmişine ve topluluk geri bildirimlerine dikkat edin, aniden popülerleşip uzun vadeli bakım eksikliği olan projelere karşı dikkatli olun.
Bu olay, açık kaynak ekosisteminde güvenlik bilincinin ve dikkatli bir tutumun son derece önemli olduğunu bir kez daha hatırlatıyor.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
5
Share
Comment
0/400
DYORMaster
· 07-21 23:59
Yine bir tuzak proje çalındı.
View OriginalReply0
FomoAnxiety
· 07-21 10:38
Fırtınalar, yağmurlar. Kim internette Özel Anahtar'ı saklayacak ki?
View OriginalReply0
ForkThisDAO
· 07-19 01:48
Yine bir kaza oldu, akıllı sözleşmeler yüksek ve düşük olabilir.
Solana, Arz Ağı saldırısına uğradı: Kötü niyetli NPM paketi kullanıcıların Özel Anahtarlarını ve varlıklarını çaldı.
Solana kullanıcı varlıklarının çalınması olayı analizi: Kötü niyetli NPM paketi Özel Anahtar çalıyor
2025 yılının Temmuz ayı başında, bir kullanıcı güvenlik ekibine başvurarak GitHub'da solana-pumpfun-bot adlı açık kaynak projesini kullanmasının ardından kripto varlıklarının çalındığını bildirdi. Yapılan araştırmalar bu olayın, kötü niyetli NPM paketleri, sahte GitHub projeleri ve sosyal mühendislik yöntemlerini içeren titiz bir saldırı zincirini ortaya çıkardığını gösterdi.
Olay Araştırması
Güvenlik ekibi, ilgili GitHub deposuna erişim sağladı ve projenin yüksek sayıda Yıldız ve Fork'a sahip olmasına rağmen, kod güncellemelerinin anormal bir şekilde yoğunlaştığını ve sürekli bakım özelliklerinden yoksun olduğunu tespit etti. Daha kapsamlı bir analiz, projenin NPM resmi olarak kaldırılan şüpheli bir üçüncü taraf paketi olan crypto-layout-utils'a bağımlı olduğunu ortaya koydu.
package-lock.json dosyasını kontrol ederek, araştırmacılar saldırganların crypto-layout-utils'in indirme bağlantısını bir GitHub sürüm adresiyle değiştirdiğini keşfettiler. Bu yüksek derecede obfuscate edilmiş bağımlılığı indirdikten ve analiz ettikten sonra, kullanıcı bilgisayarındaki dosyaları tarama ve hassas bilgileri yükleme işlevine sahip kötü niyetli bir kod olduğu doğrulandı.
Saldırı Yöntemleri
Saldırganların birden fazla GitHub hesabını kontrol ettiği ve kötü niyetli projeleri dağıtmak ve bunların güvenilirliğini artırmak için kullandığı iddia ediliyor. Projelerin popülerliğini artırmak için Fork ve Star işlemleriyle daha fazla kullanıcıyı çekmeye çalışıyorlar. crypto-layout-utils dışında, saldırıya katılan başka bir kötü niyetli paket olan bs58-encrypt-utils da keşfedildi.
Blockchain analiz araçlarını kullanarak, çalınan fonların nihayetinde bir ticaret platformuna yönlendirildiği tespit edildi.
Özet ve Öneriler
Bu saldırı, teknik yöntemler ile sosyal mühendislik stratejilerini ustaca birleştirdi. Saldırganlar, meşru açık kaynak projelerini taklit ederek kullanıcıları kötü amaçlı bağımlılıklar içeren Node.js programını indirmeye ve çalıştırmaya teşvik ederek cüzdan Özel Anahtarlarını ve varlıklarını çalmaktadır.
Benzer saldırıları önlemek için geliştiricilere ve kullanıcılara önerilir:
Bu olay, açık kaynak ekosisteminde güvenlik bilincinin ve dikkatli bir tutumun son derece önemli olduğunu bir kez daha hatırlatıyor.