Dikkat Ethereum Geliştiricileri: Popüler npm Paketleri Kripto Cüzdanlarınızı Boşaltıyor!
npm paket yöneticisinde, Ethereum geliştiricilerini hedef alan ve kripto para cüzdanı kimlik bilgilerini çalmak için tasarlanmış dört yeni kötü amaçlı paket keşfedildi. Güvenlik firması Socket‘taki araştırmacılara göre, bu paketler, Ethereum ağında MEV (Maksimal Çıkarılabilir Değer) etkileriyle mücadeledeki rolüyle bilinen meşru Flashbots altyapısını ve kriptografik yardımcı programları taklit ediyor.
Bu yazılım tedarik zinciri saldırısı, geliştiricilerin güvenini kötüye kullanarak, özel anahtarları (private keys) ve anımsatıcı tohumları (mnemonic seeds) gizlice saldırganın kontrolündeki bir Telegram botuna sızdırıyor.
Hedef: Güveni Kötüye Kullanmak
Saldırganların Flashbots’u taklit etmesi tesadüf değil. Flashbots, DeFi geliştiricileri ve Ethereum doğrulayıcıları tarafından yaygın olarak güvenilen bir platform. Saldırganlar, bu güveni istismar ederek, “flashbotts” gibi küçük bir yazım hatasıyla geliştiricileri tuzağa düşürüyor ve sahte SDK paketlerini projelerine dahil etmelerini sağlıyor.
İşte O 4 Kötü Amaçlı Paket
Socket’in raporuna göre, bu yazının yazıldığı an itibarıyla hala indirilebilir durumda olan kötü amaçlı paketler şunlar:
| 📦 Paket Adı | 📉 İndirme Sayısı |
| @flashbotts/ethers-provider-bundle | 52 |
| flashbot-sdk-eth | 467 |
| sdk-ethers | 90 |
| gram-utilz | 83 |
Saldırı Nasıl Çalışıyor?
- En Tehlikelisi (
@flashbotts/ethers-provider-bundle): Bu paket, tam Flashbots API uyumluluğu sunma kisvesi altında, gizlice ortam değişkenlerini Mailtrap kullanarak SMTP üzerinden sızdırıyor. Ayrıca, imzalanmamış tüm işlemleri saldırganın cüzdan adresine yönlendiren bir işlem manipülasyon fonksiyonu içeriyor. - Diğer Paketler:
flashbot-sdk-ethözel anahtarların çalınmasını tetiklerken,gram-utilzsaldırganın Telegram sohbetine keyfi veri sızdırmak için modüler bir mekanizma sunuyor.
Anımsatıcı tohumlar (mnemonic seed phrases), bir kripto cüzdanına erişimi kurtarmak için “ana anahtar” görevi gördüğünden, bu bilgilerin çalınması, kurbanların cüzdanları üzerinde tam kontrolün kaybedilmesi anlamına geliyor.
Techneiro Analizi: “Açık Kaynak” Ekosisteminin Kırılganlığı
Bu saldırı, açık kaynak yazılım tedarik zincirinin ne kadar hassas ve güvene dayalı olduğunu bir kez daha gözler önüne seriyor. Saldırganlar, sıfırdan bir zararlı yazılım yaratmak yerine, Flashbots gibi güvenilir bir ismin itibarını silah olarak kullanıyor ve “flashbotts” gibi küçük bir yazım hatasıyla geliştiricileri tuzağa düşürüyor (typosquatting). En sinsi taktik ise, kötü amaçlı kodun, çoğunlukla zararsız olan kodların arasına gizlenerek, otomatik güvenlik taramalarından ve yüzeysel incelemelerden kaçmasıdır. Bu, geliştiricilerin, kullandıkları her bir üçüncü parti paketin kaynağını ve içeriğini derinlemesine inceleme sorumluluğunun ne kadar kritik olduğunu gösteriyor. Bir projedeki tek bir kötü amaçlı bağımlılık, tüm sistemin güvenliğini yıkmak için yeterlidir.
Bir geliştirici olarak, projelerinize üçüncü parti paketler eklerken ne gibi güvenlik kontrolleri yapıyorsunuz? Açık kaynak paket yöneticilerinin güvenliğini sağlamak kimin sorumluluğunda: Platformun mu, yoksa geliştiricinin mi? Düşüncelerinizi yorumlarda bizimle paylaşın!
Bu Konuyla İlgili Diğer“Nedir?”Yazılarımız:
Dijital dünyada güvende kalmanızı sağlayacak en son siber güvenlik tehditleri, korunma yöntemleri ve gizlilik ipuçları için techneiro.com‘u takip etmeye devam edin!
