Microsoft, kripto cüzdan kullanıcıları ve geliştiriciler için yeni bir tedarik zinciri saldırısı riskine dikkat çekti. Şirketin tehdit istihbaratı ekibi, herkese açık npm ekosistemine yerleştirilen zararlı paketlerin cihazlardan cüzdan bilgileri, ekran görüntüleri ve klavye hareketleri toplayabildiğini bildirdi.
Uyarı, özellikle JavaScript geliştiricilerinin kullandığı açık kaynak paketlerin kripto ekosistemi açısından nasıl kritik bir saldırı yüzeyine dönüştüğünü bir kez daha gösterdi. Microsoft’a göre saldırganlar, güvenilir görünen yazılım bağımlılıkları üzerinden sisteme sızarak kullanıcıların özel verilerine erişmeyi hedefliyor.
Zararlı npm paketleri RAT yazılımı çalıştırıyor
Microsoft Threat Intelligence tarafından paylaşılan bilgilere göre saldırıda iki npm paketi öne çıktı: colortoolsv2 ve mimelib2. Bu paketlerin, cihaz üzerinde sessiz şekilde çalışan bir uzaktan erişim Trojanı, yani RAT, dağıttığı belirtildi.
RAT türü zararlı yazılımlar, saldırgana hedef cihaz üzerinde geniş kontrol imkanı sağlayabiliyor. Microsoft’un uyarısında söz konusu yazılımın klavye girişlerini izleyebildiği, ekran görüntüleri alabileceği ve kripto cüzdan kimlik bilgilerini hedefleyebileceği aktarıldı.
Microsoft Threat Intelligence, ele geçirilen npm paketlerinin Hugging Face depolarını veri sızdırma altyapısı olarak kullandığını ve zararlı yazılımın klavye hareketleri, ekran görüntüleri ile kripto cüzdan bilgilerini toplayabildiğini bildirdi.
Hugging Face detayı saldırıyı daha tehlikeli hale getiriyor
Saldırının dikkat çeken taraflarından biri, çalınan verilerin aktarımı için Hugging Face depolarının kullanılması oldu. Yapay zeka ve makine öğrenimi projeleriyle bilinen Hugging Face gibi güvenilir platformlar üzerinden gerçekleşen trafik, bilinmeyen bir suç sunucusuna yapılan doğrudan bağlantılara kıyasla güvenlik sistemleri tarafından daha az şüpheli görülebiliyor.
Bu yöntem, saldırganların tespit edilmeden daha uzun süre hareket edebilmesine zemin hazırlıyor. Özellikle geliştirici cihazlarında tarayıcı cüzdanları, özel anahtarlar, seed phrase dosyaları, borsa API anahtarları, GitHub tokenları ve bulut servis girişleri bulunabildiği için risk yalnızca bireysel kullanıcılarla sınırlı kalmıyor.
Kripto geliştiricileri hedefte
Kripto sektöründe saldırganların odağı giderek yalnızca son kullanıcılar değil, uygulamaları geliştiren ekipler ve yazılım altyapıları haline geliyor. Açık kaynak paket yöneticilerinde yayımlanan sahte veya ele geçirilmiş paketler, geliştiricilerin sistemlerine arka kapı yerleştirmek için etkili bir yöntem olarak kullanılıyor.
Son dönemde npm, PyPI ve Rust ekosistemlerinde görülen zararlı paket kampanyaları da bu eğilimi güçlendirdi. Daha önce gündeme gelen TrapDoor kampanyasında 34’ten fazla zararlı paket üzerinden kripto ve yapay zeka geliştiricilerinin cüzdan verileri, API anahtarları, bulut kimlik bilgileri ve SSH erişimleri hedef alınmıştı.
Benzer şekilde, mart ayında Slow Fog tarafından yapılan uyarılarda da zararlı Axios sürümlerinin geliştiricileri çapraz platform RAT yazılımları ve kimlik bilgisi hırsızlığı riskiyle karşı karşıya bıraktığı belirtilmişti.
Microsoft’tan ikinci kötü amaçlı yazılım alarmı
Microsoft’un npm uyarısı, şirketin güvenlik ekiplerinin kısa süre önce duyurduğu başka bir kripto bağlantılı zararlı yazılım kampanyasının ardından geldi. 26 Mayıs’ta yapılan açıklamada, saldırganların zehirlenmiş arama sonuçları ve bazı yapay zeka sohbet etkileşimleri üzerinden sahte bilgisayar yardımcı programları dağıttığı belirtilmişti.
Bu kampanyada kullanıcıların güçlü ekran kartlarına sahip cihazları hedef alınmış, sahte CrystalDiskInfo ve HWMonitor indirmeleri gibi araçlar üzerinden kripto madenciliği yazılımları çalıştırıldığı aktarılmıştı. Microsoft, saldırganların ScreenConnect ve Microsoft .NET araçlarını da kötüye kullandığını bildirmişti.
Cüzdan güvenliği için kritik önlemler
Son uyarı, geliştiriciler ve kripto kullanıcıları için temel güvenlik kontrollerinin önemini yeniden gündeme taşıdı. Geliştiricilerin son yüklenen paketleri denetlemesi, şüpheli bağımlılıkları kaldırması, açığa çıkmış olabilecek kimlik bilgilerini yenilemesi ve cüzdan hareketlerini kontrol etmesi gerekiyor.
Kripto kullanıcıları açısından ise seed phrase bilgilerinin internete bağlı cihazlarda saklanmaması, tarayıcı cüzdanlarında gereksiz yetkilerin kaldırılması ve her işlem imzalanmadan önce adres ile izin detaylarının dikkatle doğrulanması kritik önem taşıyor.
