Kötü Niyetli NPM Paketi ile Solana Kullanıcılarının Özel Anahtarlarının Çalınması Olayı Analizi
2025 yılının Temmuz ayının başında, Solana kullanıcılarına yönelik bir kötü niyetli saldırı olayı açığa çıktı. Saldırganlar, meşru açık kaynak projelerine benzeyerek, kullanıcıları kötü amaçlı kod içeren bir Node.js projesini indirmeye ve çalıştırmaya ikna ederek, kullanıcıların cüzdan Özel Anahtarlarını ve kripto varlıklarını çalmıştır.
Olayın Geçişi
2 Temmuz'da bir mağdur, GitHub'daki açık kaynak projesi "solana-pumpfun-bot"u kullanmasının ardından kripto varlıklarının çalındığını belirterek güvenlik ekibine başvurdu. Güvenlik ekibi hemen soruşturmaya başladı.
Araştırmalar, bu GitHub projesinde anormallikler olduğunu ortaya koydu:
Kod gönderim zamanı üç hafta önce yoğunlaşmış, sürekli güncelleme eksik.
Proje şüpheli bir üçüncü taraf paketi "crypto-layout-utils"'a bağımlıdır.
Bu bağımlılık paketi NPM resmi olarak kaldırıldı ve belirtilen sürüm NPM tarihçesinde mevcut değil.
Daha ileri analizler, saldırganın package-lock.json dosyasında "crypto-layout-utils"'ın indirme bağlantısını kontrol ettiği GitHub deposu adresi ile değiştirdiğini ortaya koydu.
Kötü Amaçlı Kod Analizi
Güvenlik ekibi şüpheli bağımlılık paketlerini indirdi ve analiz etti, bunların içinde yüksek derecede obfuske edilmiş kötü niyetli kodlar bulunmuştur. Bu kod aşağıdaki işlevleri gerçekleştirmiştir:
Kullanıcının bilgisayarındaki dosyaları tarayın, cüzdan veya Özel Anahtar ile ilgili içerikleri arayın.
Bulunan hassas bilgileri saldırganın kontrolündeki sunucuya yükleyin.
Saldırı Yöntemleri
Birden fazla GitHub hesabını kontrol etme, kötü niyetli projeleri Fork'lama ve dağıtma
Projelerin Fork ve Star sayısını artırarak güvenilirliği yükseltmek
NPM paketinin indirme bağlantısını değiştirin, resmi incelemeyi atlayın
Analiz zorluğunu artırmak için karışık kod kullanın
Fon Akışı
Zincir üstü analiz araçlarını kullanarak yapılan takipte, çalınan fonların bir kısmının belirli bir kripto para borsa platformuna aktarıldığı tespit edilmiştir.
Güvenlik Önerileri
Kaynağı belirsiz GitHub projelerine, özellikle cüzdan işlemleriyle ilgili olanlara dikkat edin.
Üçüncü taraf kodunu bağımsız ve hassas veri içermeyen bir ortamda çalıştırmak ve hata ayıklamak
Sistem güvenliğini düzenli olarak kontrol edin, yazılım ve koruma önlemlerini zamanında güncelleyin.
Bu olay, kripto varlıklarla işlem yaparken dikkatli olmanın önemini bir kez daha vurguladı. Saldırganlar sürekli olarak yeni yöntemler geliştiriyor, bu nedenle kullanıcılar ve geliştiriciler güvenlik bilincini artırmalı ve gerekli koruma önlemlerini almalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
4
Share
Comment
0/400
HodlKumamon
· 9h ago
Ayy ayy, kod denetimi yapmayan node projeleri, XiongXiong için çıplak yüzmek kadar riskli gibi geliyor.
View OriginalReply0
SerumSurfer
· 9h ago
Ha? npm paketi de kolayca güvenilir değil!
View OriginalReply0
MiningDisasterSurvivor
· 9h ago
Bu tuzak 2018'deki EOS yatırım planından daha iyi değil. Enayiler gerçekten birbiri ardına geliyor.
Solana kullanıcıları yeni nesil NPM paket saldırısına maruz kaldı: Özel Anahtar hırsızlığı olayı analizi ve önlemleri
Kötü Niyetli NPM Paketi ile Solana Kullanıcılarının Özel Anahtarlarının Çalınması Olayı Analizi
2025 yılının Temmuz ayının başında, Solana kullanıcılarına yönelik bir kötü niyetli saldırı olayı açığa çıktı. Saldırganlar, meşru açık kaynak projelerine benzeyerek, kullanıcıları kötü amaçlı kod içeren bir Node.js projesini indirmeye ve çalıştırmaya ikna ederek, kullanıcıların cüzdan Özel Anahtarlarını ve kripto varlıklarını çalmıştır.
Olayın Geçişi
2 Temmuz'da bir mağdur, GitHub'daki açık kaynak projesi "solana-pumpfun-bot"u kullanmasının ardından kripto varlıklarının çalındığını belirterek güvenlik ekibine başvurdu. Güvenlik ekibi hemen soruşturmaya başladı.
Araştırmalar, bu GitHub projesinde anormallikler olduğunu ortaya koydu:
Daha ileri analizler, saldırganın package-lock.json dosyasında "crypto-layout-utils"'ın indirme bağlantısını kontrol ettiği GitHub deposu adresi ile değiştirdiğini ortaya koydu.
Kötü Amaçlı Kod Analizi
Güvenlik ekibi şüpheli bağımlılık paketlerini indirdi ve analiz etti, bunların içinde yüksek derecede obfuske edilmiş kötü niyetli kodlar bulunmuştur. Bu kod aşağıdaki işlevleri gerçekleştirmiştir:
Saldırı Yöntemleri
Fon Akışı
Zincir üstü analiz araçlarını kullanarak yapılan takipte, çalınan fonların bir kısmının belirli bir kripto para borsa platformuna aktarıldığı tespit edilmiştir.
Güvenlik Önerileri
Bu olay, kripto varlıklarla işlem yaparken dikkatli olmanın önemini bir kez daha vurguladı. Saldırganlar sürekli olarak yeni yöntemler geliştiriyor, bu nedenle kullanıcılar ve geliştiriciler güvenlik bilincini artırmalı ve gerekli koruma önlemlerini almalıdır.