Injective yazılım paketinde özel anahtarları çalan kod bulundu

Özet:Socket, Injective geliştiricilerinin kullandığı popüler bir npm paketinin özel anahtarları ve kurtarma ifadelerini çalacak şekilde değiştirildiğini tespit etti.

Siber saldırganlar, kripto cüzdanlarının özel anahtarlarını çalmak üzere tasarlanmış kötü amaçlı yazılım içeren bir tedarik zinciri saldırısında yaygın olarak kullanılan bir Injective yazılım paketini ele geçirdi. Olay, saldırganların kötü amaçlı yükleri dağıtmak için meşru platformları kullandığı ve giderek büyüyen bir saldırı yöntemine yeni bir örnek oluşturdu.

Güvenlik şirketi Socket, perşembe günü Injective blockchaini üzerinde geliştirme yapmak için kullanılan ve haftada yaklaşık 50.000 kez indirilen popüler bir npm paketinin, cüzdan özel anahtarlarını ve kurtarma ifadelerini çalacak şekilde kötü amaçlı olarak değiştirildiğini tespit etti.

Socket araştırmacıları, yüksek indirme sayısının olayı “Injective cüzdan iş akışlarını yöneten geliştiriciler ve uygulamalar açısından önemli” hale getirdiğini söyledi. Kötü amaçlı kod daha sonra kaldırıldı.

Yazılım tedarik zinciri saldırısı, siber saldırganların bir blockchainin kriptografisini veya akıllı sözleşmelerini doğrudan hedef almak yerine cüzdanlar, borsalar ve uygulamalar geliştirmek için kullanılan güvenilir geliştirici araçlarını ele geçirdiği görece yeni bir saldırı yöntemi olarak öne çıkıyor.

Injective, DeFi uygulamaları için tasarlanmış, birlikte çalışabilir bir birinci katman ağıdır. DefiLlama verilerine göre ağın kullanımı son iki yılda azaldı ve kilitli toplam değer, 2024 ortasında ulaştığı 71 milyon dolarlık zirveden yüzde 88 düşerek mevcut 8,2 milyon dolar seviyesine geriledi.

Özel anahtarlar ve ifadeler gizlice kopyalandı

@injectivelabs/sdk-ts npm paketinin 1.20.21 sürümü, ele geçirilmiş bir geliştirici GitHub hesabı üzerinden değiştirildi ve şüpheli commit'ler 8 Haziran'da başladı. Socket, söz konusu sürümün Injective Labs npm kapsamındaki 17 başka pakete de sabitlendiğini ve bunun “SDK'yi doğrudan yüklememiş olabilecek kullanıcıları da riske attığını” belirtti.

Socket, “Kötü amaçlı sürüm, cüzdan anahtarı türetme işlevlerine bağlanıyor, özel anahtarları ve anımsatıcı ifadeleri kaydediyor ve bunları sahte telemetri üzerinden dışarı aktarıyor,” açıklamasını yaptı.

Kötü amaçlı kod, cüzdan anahtarları oluşturmak için kullanılan normal işlevlere bağlandı. Bir geliştiricinin uygulaması bu işlevleri her kullandığında, kurtarma ifadesi veya özel anahtar gizlice kopyalandı. Ele geçirilen veriler daha sonra kodlandı ve meşru bir Injective ağ sunucusuna benzeyen bir web adresine gönderildi.

Socket, “Etkilenen paketlerden geçen tüm anahtarlar veya anımsatıcı ifadeler ele geçirilmiş kabul edilmelidir,” ifadelerini kullandı.

Socket, hesabı ele geçirilen geliştiricinin ihlali hızla fark ettiğini ancak kötü amaçlı yazılımın 300'den fazla kez indirildiğini ve “kampanyanın henüz tamamen kontrol altına alınmadığını” bildirdi.

Injective CEO'su Eric Chen, “Sorun zaten giderildi ve npm'deki etkilenen sürümler kullanımdan kaldırıldı,” dedi. Chen, ağdaki hiçbir fonun risk altında olmadığını da ekledi. Socket ise olayda herhangi bir fonun çalınıp çalınmadığını belirtmedi.

Ele geçirilen npm paketi 310 kez indirildi. Kaynak: Socket

Bu yıl en yüksek kayıp cüzdan ihlallerinden kaynaklandı

Security Alliance (SEAL), ikinci çeyrek tehdit raporunda saldırganların kötü amaçlı yükleri dağıtmak için GitHub, npm ve Google gibi meşru platformları giderek daha fazla kullandığını belirtti.

“Bazı durumlarda ele geçirilen sistemler, kötü amaçlı kodu doğrudan bir şirketin kendi GitHub depolarına göndermek için kullanılıyor ve tek bir ihlal bir sonraki saldırının dağıtım kanalına dönüşüyor.”

SEAL ayrıca kötü amaçlı yazılımların daha kapsamlı hale geldiğini belirterek “macOS'a özel kampanyalardaki artış dahil olmak üzere, bilgi hırsızlarını, RAT'leri yani uzaktan erişim truva atlarını ve arka kapı yeteneklerini tek bir pakette birleştiren platformlar arası kötü amaçlı yüklerin” yaygınlaştığını söyledi.

Benzer bir tedarik zinciri saldırısı mart ayında Axios npm sürümlerini hedef aldı. TrapDoor adlı bir kötü amaçlı yazılım kampanyasının ise mayıs ayında kripto, DeFi, yapay zeka ve güvenlik geliştiricilerini hedef aldığı ortaya çıktı.

GitHub da 20 Mayıs'ta bir çalışanın cihazının ele geçirilmesinin ardından kendi dahili depolarına yetkisiz erişim bildirildiğinde saldırıya uğradı.

CertiK'in pazartesi günü yayımladığı verilere göre cüzdan ihlalleri, 2026'nın ilk yarısında en yüksek maliyete yol açan saldırı yöntemi oldu ve 33 olayda toplam 444 milyon dolar çalındı.

Feragatname

Bu makaledeki görüşler yalnızca yazarın kişisel görüşlerini temsil eder ve bu platform için yatırım tavsiyesi teşkil etmez. Bu platform, makale bilgilerinin doğruluğunu, eksiksizliğini ve güncelliğini garanti etmez ve makale bilgilerinin kullanılması veya bunlara güvenilmesinden kaynaklanan herhangi bir kayıptan sorumlu değildir.
Önceki Gönderi

Bitdeer hisseleri yeni Bitcoin tesisi haberiyle yüzde 14 sıçradı

Sonraki

Strategy'nin Bitcoin satışları sonrası Saylor'dan dikkat çeken mesaj