Solana ekosistemi yeniden saldırıya uğradı - Kötü niyetli NPM paketi kullanıcıların Özel Anahtarlarını çalma olayı analizi

2025'in Temmuz ayının başlarında, Solana ekosistemindeki kullanıcıları hedef alan bir saldırı olayı güvenlik ekibinin dikkatini çekti. Bir kullanıcı, GitHub'daki bir açık kaynak projesini kullanmasının ardından, kripto varlıklarının çalındığını fark etti. Derinlemesine bir incelemenin ardından, güvenlik uzmanları dikkatlice planlanmış bir saldırı zincirini ortaya çıkardı.

Saldırganlar, "solana-pumpfun-bot" adıyla meşru bir açık kaynak proje olarak kendilerini gizliyorlar. Bu projenin GitHub deposu normal görünüyor ve yüksek sayıda Yıldız ve Fork'a sahip. Ancak, dikkatli bir inceleme ile, tüm kodların gönderim zamanlarının üç hafta öncesine yoğunlaştığı ve sürekli güncellemelerin belirtilerinin eksik olduğu ortaya çıkıyor.

Daha fazla analiz, projenin "crypto-layout-utils" adında şüpheli bir üçüncü taraf pakete bağımlı olduğunu ortaya koydu. Bu paket NPM resmi olarak kaldırıldı ve belirtilen sürüm numarası resmi geçmişte mevcut değil. Saldırganlar, package-lock.json dosyasını değiştirerek bağımlılık paketinin indirme bağlantısını kendi kontrolündeki GitHub depo adresiyle değiştirdi.

Bu kötü niyetli NPM paketi yüksek derecede obfuske edilmiştir ve kullanıcıların bilgisayarındaki dosyaları tarayan bir mantık içerir. Bir cüzdan veya Özel Anahtar ile ilgili içerik tespit edildiğinde, bu içerik saldırganın kontrolündeki sunucuya yüklenecektir.

Saldırganlar, projenin güvenilirliğini artırmak için bir dizi önlem de aldı. Kötü niyetli projeleri Fork'lamak ve dağıtmak için birden fazla GitHub hesabını kontrol ediyorlar, aynı zamanda projenin Fork ve Star sayısını artırarak daha fazla kullanıcının dikkatini çekiyorlar.

"crypto-layout-utils" dışında, "bs58-encrypt-utils" adında başka bir kötü niyetli paket de benzer saldırılarda kullanıldı. Bu, saldırganların NPM'den paket kaldırıldıktan sonra saldırı stratejisini değiştirdiğini ve kötü niyetli kodu dağıtmaya devam etmek için indirme bağlantısını değiştirme yöntemini kullandığını gösteriyor.

Zincir üstü analiz araçlarıyla izleme yaparak, bazı çalınan fonların bir borsa platformuna transfer edildiğini buldum.

Bu saldırı olayı, açık kaynak topluluğunun karşılaştığı potansiyel riskleri ortaya koydu. Saldırganlar, meşru projelere benzeyerek ve sosyal mühendislik ile teknik yöntemleri bir araya getirerek, kullanıcıları kötü niyetli kod çalıştırmaya zorlamayı başardılar. Bu durum, Özel Anahtarların ifşasına ve varlıkların çalınmasına yol açtı.

Güvenlik uzmanları, geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı son derece dikkatli olmalarını öneriyor, özellikle cüzdan veya Özel Anahtar işlemleriyle ilgili projelerde. Hata ayıklama gerekiyorsa, en iyisi bağımsız ve hassas veri içermeyen bir ortamda gerçekleştirmektir.

Bu olay, merkeziyetsiz açık kaynak dünyasında kullanıcıların güvenlik bilincinin ve tetikte olmasının son derece önemli olduğunu bir kez daha hatırlatıyor. Aynı zamanda, platformların ve toplulukların kötü niyetli projelere karşı denetimi ve hızlı yanıt mekanizmalarını güçlendirmeleri çağrısında bulunuyor, daha güvenli bir blok zinciri ekosistemini birlikte korumalıyız.