Solana kullanıcıları kötü niyetli NPM paketleriyle özel anahtarlarının çalınması olayı analizi
Olay Arka Planı
2 Temmuz 2025'te, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve GitHub'daki açık kaynak projesi "solana-pumpfun-bot"u kullandıktan sonra kripto varlıklarının çalındığını bildirdi. Güvenlik ekibi hemen soruşturmaya başladı.
Araştırma Süreci
Güvenlik ekibi öncelikle bu GitHub projesini kontrol etti ve kod gönderim zamanlarının yoğun ve anormal olduğunu fark etti. Projenin bağımlılıklarını daha fazla analiz ettiğinde, "crypto-layout-utils" adında şüpheli bir üçüncü taraf paketine rastladı. Bu paket NPM resmi olarak kaldırılmış ve belirtilen versiyon resmi tarihçede görünmemektedir.
package-lock.json dosyasını kontrol ederek, ekip saldırganın bu paketin indirme bağlantısını bir GitHub release bağlantısıyla değiştirdiğini keşfetti. Bu yüksek derecede karmaşık paketi indirip analiz ettikten sonra, bunun kullanıcı bilgisayarındaki dosyaları tarayıp hassas bilgileri yükleyebilen kötü niyetli bir NPM paketi olduğu doğrulandı.
Saldırı Yöntemleri
Saldırganlar, kötü amaçlı yazılımları dağıtmak ve projelerin güvenilirliğini artırmak için birden fazla GitHub hesabını kontrol edebilir. "crypto-layout-utils" dışında, "bs58-encrypt-utils" adında başka bir kötü amaçlı paket de bulundu. Bu kötü amaçlı paketler 2025 yılının Haziran ayının ortalarından itibaren dağıtılmaya başlandı.
Fon Akışı
Kullanıcıların işlemlerini takip etmek için zincir üstü analiz araçları kullanarak, çalınan bazı fonların bir borsa platformuna aktarıldığı tespit edilmiştir.
Özet ve Öneriler
Saldırganlar, meşru açık kaynak projelerini taklit ederek, kullanıcıları kötü niyetli bağımlılıklar içeren Node.js projelerini indirmeye ve çalıştırmaya teşvik ediyor, bu da özel anahtarların sızmasına ve varlıkların çalınmasına yol açıyor. Bu tür saldırılar, sosyal mühendislik ve teknik yöntemleri birleştirerek, tamamen savunulması zor hale geliyor.
Geliştiricilerin ve kullanıcıların kaynakları belirsiz GitHub projelerine karşı son derece dikkatli olmaları önerilir, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda. Hata ayıklama işlemi yapılması gerektiğinde, bağımsız ve hassas veri içermeyen bir ortamda yapılmalıdır.
İlgili Bilgiler
Birden fazla kötü niyetli davranışla ilgili GitHub deposu onaylandı.
Kötü niyetli NPM paketleri arasında "crypto-layout-utils" ve "bs58-encrypt-utils" bulunmaktadır.
Kötü niyetli paket verileri sunucu alan adı "githubshadow.xyz" olarak yüklendi
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
13 Likes
Reward
13
7
Share
Comment
0/400
MevHunter
· 07-24 02:35
Yine bir tuzağa düştü, hâlâ tavsiyeleri dinlemiyor.
View OriginalReply0
SpeakWithHatOn
· 07-24 01:41
Yine enayiler tarafından oyuna getirilmek. Tsk tsk.
View OriginalReply0
DaoDeveloper
· 07-22 17:58
degens, bağımlılıklarını denetlemelidir... solana'nın güvenlik ilkeleri bunu hak etmiyor, smh
View OriginalReply0
SoliditySlayer
· 07-21 07:11
Yine bir grup enayiyi hallettik.
View OriginalReply0
WalletDivorcer
· 07-21 03:20
Bir tuzağa düşme, pis çocuk.
View OriginalReply0
Anon4461
· 07-21 03:13
Emiciler Tarafından Oyuna Getirilmek yöntemleri yenilendi.
View OriginalReply0
SmartContractRebel
· 07-21 02:59
Yine bir hırsızlık olayı mı yaşandı? Tipik yeni enayiler
Solana ekosisteminde tekrar Özel Anahtar hırsızlığı, kötü niyetli NPM paketleri Açık Kaynak projeleri olarak gizleniyor.
Solana kullanıcıları kötü niyetli NPM paketleriyle özel anahtarlarının çalınması olayı analizi
Olay Arka Planı
2 Temmuz 2025'te, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve GitHub'daki açık kaynak projesi "solana-pumpfun-bot"u kullandıktan sonra kripto varlıklarının çalındığını bildirdi. Güvenlik ekibi hemen soruşturmaya başladı.
Araştırma Süreci
Güvenlik ekibi öncelikle bu GitHub projesini kontrol etti ve kod gönderim zamanlarının yoğun ve anormal olduğunu fark etti. Projenin bağımlılıklarını daha fazla analiz ettiğinde, "crypto-layout-utils" adında şüpheli bir üçüncü taraf paketine rastladı. Bu paket NPM resmi olarak kaldırılmış ve belirtilen versiyon resmi tarihçede görünmemektedir.
package-lock.json dosyasını kontrol ederek, ekip saldırganın bu paketin indirme bağlantısını bir GitHub release bağlantısıyla değiştirdiğini keşfetti. Bu yüksek derecede karmaşık paketi indirip analiz ettikten sonra, bunun kullanıcı bilgisayarındaki dosyaları tarayıp hassas bilgileri yükleyebilen kötü niyetli bir NPM paketi olduğu doğrulandı.
Saldırı Yöntemleri
Saldırganlar, kötü amaçlı yazılımları dağıtmak ve projelerin güvenilirliğini artırmak için birden fazla GitHub hesabını kontrol edebilir. "crypto-layout-utils" dışında, "bs58-encrypt-utils" adında başka bir kötü amaçlı paket de bulundu. Bu kötü amaçlı paketler 2025 yılının Haziran ayının ortalarından itibaren dağıtılmaya başlandı.
Fon Akışı
Kullanıcıların işlemlerini takip etmek için zincir üstü analiz araçları kullanarak, çalınan bazı fonların bir borsa platformuna aktarıldığı tespit edilmiştir.
Özet ve Öneriler
Saldırganlar, meşru açık kaynak projelerini taklit ederek, kullanıcıları kötü niyetli bağımlılıklar içeren Node.js projelerini indirmeye ve çalıştırmaya teşvik ediyor, bu da özel anahtarların sızmasına ve varlıkların çalınmasına yol açıyor. Bu tür saldırılar, sosyal mühendislik ve teknik yöntemleri birleştirerek, tamamen savunulması zor hale geliyor.
Geliştiricilerin ve kullanıcıların kaynakları belirsiz GitHub projelerine karşı son derece dikkatli olmaları önerilir, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda. Hata ayıklama işlemi yapılması gerektiğinde, bağımsız ve hassas veri içermeyen bir ortamda yapılmalıdır.
İlgili Bilgiler