Siber Güvenlik Araştırmacıları, npm ve PyPI Depolarında Veri Çalma ve Hassas Verileri Silme Yeteneğine Sahip Üç Set Kötü Amaçlı Paket Tespit Etti
Aşağıda tespit edilen paketlerin listesi yer almaktadır:
- @async-mutex/mutex, bir async-mute yazım hatası (npm)
- dexscreener, merkeziyetsiz borsalardan (DEX) likidite havuzu verilerine erişim sağlamak ve DEX Screener platformu ile etkileşim kurmak için bir kütüphane olarak gizlenen paket (npm)
- solana-transaction-toolkit (npm)
- solana-stable-web-huks (npm)
- cschokidar-next, bir chokidar yazım hatası (npm)
- achokidar-next, bir chokidar yazım hatası (npm)
- achalk-next, bir chalk yazım hatası (npm)
- csbchalk-next, bir chalk yazım hatası (npm)
- cschalk, bir chalk yazım hatası (npm)
- pycord-self, bir discord.py-self yazım hatası (PyPI)
Bu paketleri keşfeden tedarik zinciri güvenliği şirketi Socket, ilk dört paketin Solana özel anahtarlarını ele geçirmek ve bunları Gmail’in Basit Posta Aktarım Protokolü (SMTP) sunucuları üzerinden iletmek için tasarlandığını belirtti. Bu saldırıların muhtemel amacı, kurbanların cüzdanlarını boşaltmaktır.
Özellikle, solana-transaction-toolkit ve solana-stable-web-huks adlı paketler, cüzdanın içeriğini otomatik olarak kurbanın cüzdanının %98’ine kadar olan kısmını saldırgan tarafından kontrol edilen bir Solana adresine transfer edecek şekilde programlanmıştır. Bu esnada Solana’ya özel işlevsellik sunduğunu iddia etmektedir.
“Gmail güvenilir bir e-posta hizmeti olduğu için, bu veri sızdırma girişimlerinin güvenlik duvarları veya uç nokta algılama sistemleri tarafından işaretlenme olasılığı daha düşüktür. Çünkü bu sistemler, smtp.gmail.com’u meşru trafik olarak görmektedir,” diye açıklama yaptı güvenlik araştırmacısı Kirill Boychenko.
Socket ayrıca, solana-transaction-toolkit ve solana-stable-web-huks paketlerinin arkasındaki tehdit aktörleri tarafından yayınlanan iki GitHub deposu tespit ettiğini açıkladı. Bu depolar, Solana geliştirme araçları veya yaygın DeFi iş akışlarını otomatikleştirmek için komut dosyaları içeriyormuş gibi görünmekte; ancak gerçekte, tehdit aktörünün kötü amaçlı npm paketlerini içermektedir.
GitHub’da bu kötü amaçlı depolarla ilişkili “moonshot-wif-hwan” ve “Diveinprogramming” hesaplarına artık erişilemiyor.
Kirill Boychenko, “Tehdit aktörünün GitHub deposunda bulunan bir script, moonshot-wif-hwan/pumpfun-bump-script-bot, Solana tabanlı popüler bir DEX olan Raydium’da ticaret yapmayı sağlayan bir bot olarak tanıtılıyor. Ancak bu script, aslında solana-stable-web-huks paketinden kötü amaçlı kodlar içermektedir,” açıklamasında bulundu.
Kötü amaçlı GitHub depolarının kullanılması, saldırganların yalnızca npm’in ötesine geçerek, Microsoft’un sahip olduğu kod barındırma platformunda Solana ile ilgili araçlar arayan geliştiricileri hedef almaya yönelik daha geniş çaplı bir kampanya yürütme çabalarını göstermektedir.
Gelişmiş Kötü Amaçlı Fonksiyonlar
İkinci grup npm paketlerinin, kötü amaçlı işlevselliklerini bir adım öteye taşıdığı ve belirli durumlarda ortam değişkenlerini uzak bir sunucuya sızdırmanın yanı sıra, proje özelindeki dizinlerdeki tüm dosyaları tekrarlamalı olarak silen bir “kill switch” (öldürme anahtarı) işlevini içerdiği tespit edilmiştir.
Sahte csbchalk-next paketi, yanlış yazılmış chokidar sürümleriyle aynı şekilde çalışmaktadır. Ancak, yalnızca bir sunucudan “202” kodunu aldıktan sonra veri silme işlemini başlatmaktadır.
Pycord-self ise Python geliştiricilerini hedef alarak, Discord API’lerini projelerine entegre etmeye çalışan kullanıcıların kimlik doğrulama jetonlarını ele geçirmekte ve saldırgan kontrolündeki bir sunucuya bağlanarak Windows ve Linux sistemlerinde kalıcı bir arka kapı erişimi sağlamaktadır.
Hedefte Roblox Kullanıcıları
Bu durum, kötü niyetli aktörlerin, açık kaynaklı Skuld ve Blank-Grabber gibi veri çalıcı kötü amaçlı yazılımlar kullanarak Roblox kullanıcılarını sahte kütüphanelerle hedef aldığı bir dönemde yaşanıyor. Geçtiğimiz yıl, Imperva, oyun hileleri ve modları arayan Roblox oyuncularının, aynı kötü amaçlı yükleri indirmeleri için aldatıldığını ortaya çıkardı. Bu aldatmacalar, sahte PyPI paketleri kullanılarak gerçekleştirilmektedir.
