Solana kullanıcı varlıklarının çalınması vakası analizi: Kötü niyetli NPM paketi özel anahtarı çalıyor
2025 yılının 2 Temmuz'unda, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve bir GitHub üzerindeki açık kaynak proje kullanımı sonrası kripto varlıklarının çalındığını bildirdi. Projenin adı solana-pumpfun-bot olup, GitHub platformunda barındırılmaktadır.
Güvenlik ekibi hemen bir soruşturma başlattı. Öncelikle projenin GitHub deposunu kontrol ettiler ve Star ile Fork sayısının oldukça yüksek olduğunu, ancak kod gönderim tarihlerinin üç hafta önceye yoğunlaştığını, sürekli güncellemelerin eksik olduğunu gördüler. Bu durum güvenlik ekibinin dikkatini çekti.
Daha fazla analiz, bu Node.js projesinin crypto-layout-utils adlı bir üçüncü taraf pakete bağımlı olduğunu ortaya koydu. Ancak, bu paket NPM resmi olarak kaldırıldı ve belirtilen sürüm NPM'in geçmişinde yer almıyor.
package-lock.json dosyasını inceleyerek, ekip saldırganların crypto-layout-utils'un indirme bağlantısını bir GitHub release adresi ile değiştirdiğini fark etti. Bu paketi indirip analiz ettikten sonra, yüksek derecede karıştırılmış kötü niyetli kod olduğunu keşfettiler.
Açıklama yapıldıktan sonra, güvenlik ekibi bunun kötü niyetli bir NPM paketi olduğunu doğruladı. Bu paket, kullanıcı bilgisayarındaki dosyaları tarar ve cüzdan veya Özel Anahtar ile ilgili içerikler bulursa, bunları saldırganın kontrolündeki sunucuya yükler.
Araştırmalar ayrıca, saldırganların birden fazla GitHub hesabını kontrol ediyor olabileceğini, kötü niyetli projeleri Forklamak ve kötü amaçlı yazılımları dağıtmak için kullandıklarını, aynı zamanda projelerin Fork ve Star sayılarını artırarak daha fazla kullanıcı dikkatini çekmeye çalıştıklarını ortaya koydu.
Bazı Fork projelerinde ayrıca başka bir kötü amaçlı paket olan bs58-encrypt-utils-1.0.3 kullanılmıştır. Bu kötü amaçlı paket 12 Haziran 2025'te oluşturulmuştur ve saldırganların o zamandan beri kötü amaçlı NPM paketleri ve Node.js projeleri dağıtmaya başladığı tahmin edilmektedir.
Zincir üzerindeki analiz araçları ile ekip, bir saldırgan adresinin çalınan fonları bir borsa platformuna transfer ettiğini takip etti.
Bu saldırıda, saldırganlar meşru açık kaynak projelerini taklit ederek kullanıcıları kötü niyetli kodları indirmeye ve çalıştırmaya yönlendirdi. Saldırganlar ayrıca projelerin popülaritesini artırarak güvenilirliklerini yükselttiler. Bu tür bir saldırı, sosyal mühendislik ve teknik yöntemleri birleştirerek tam olarak savunulması zor bir durum oluşturuyor.
Geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı yüksek derecede dikkatli olmaları önerilir, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda. Hata ayıklama gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmak en iyisidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Solana kullanıcı varlıkları çalındı: Kötü niyetli NPM paketi GitHub projesi aracılığıyla Özel Anahtarları çaldı
Solana kullanıcı varlıklarının çalınması vakası analizi: Kötü niyetli NPM paketi özel anahtarı çalıyor
2025 yılının 2 Temmuz'unda, bir kullanıcı güvenlik ekibine yardım talebinde bulundu ve bir GitHub üzerindeki açık kaynak proje kullanımı sonrası kripto varlıklarının çalındığını bildirdi. Projenin adı solana-pumpfun-bot olup, GitHub platformunda barındırılmaktadır.
Güvenlik ekibi hemen bir soruşturma başlattı. Öncelikle projenin GitHub deposunu kontrol ettiler ve Star ile Fork sayısının oldukça yüksek olduğunu, ancak kod gönderim tarihlerinin üç hafta önceye yoğunlaştığını, sürekli güncellemelerin eksik olduğunu gördüler. Bu durum güvenlik ekibinin dikkatini çekti.
Daha fazla analiz, bu Node.js projesinin crypto-layout-utils adlı bir üçüncü taraf pakete bağımlı olduğunu ortaya koydu. Ancak, bu paket NPM resmi olarak kaldırıldı ve belirtilen sürüm NPM'in geçmişinde yer almıyor.
package-lock.json dosyasını inceleyerek, ekip saldırganların crypto-layout-utils'un indirme bağlantısını bir GitHub release adresi ile değiştirdiğini fark etti. Bu paketi indirip analiz ettikten sonra, yüksek derecede karıştırılmış kötü niyetli kod olduğunu keşfettiler.
Açıklama yapıldıktan sonra, güvenlik ekibi bunun kötü niyetli bir NPM paketi olduğunu doğruladı. Bu paket, kullanıcı bilgisayarındaki dosyaları tarar ve cüzdan veya Özel Anahtar ile ilgili içerikler bulursa, bunları saldırganın kontrolündeki sunucuya yükler.
Araştırmalar ayrıca, saldırganların birden fazla GitHub hesabını kontrol ediyor olabileceğini, kötü niyetli projeleri Forklamak ve kötü amaçlı yazılımları dağıtmak için kullandıklarını, aynı zamanda projelerin Fork ve Star sayılarını artırarak daha fazla kullanıcı dikkatini çekmeye çalıştıklarını ortaya koydu.
Bazı Fork projelerinde ayrıca başka bir kötü amaçlı paket olan bs58-encrypt-utils-1.0.3 kullanılmıştır. Bu kötü amaçlı paket 12 Haziran 2025'te oluşturulmuştur ve saldırganların o zamandan beri kötü amaçlı NPM paketleri ve Node.js projeleri dağıtmaya başladığı tahmin edilmektedir.
Zincir üzerindeki analiz araçları ile ekip, bir saldırgan adresinin çalınan fonları bir borsa platformuna transfer ettiğini takip etti.
Bu saldırıda, saldırganlar meşru açık kaynak projelerini taklit ederek kullanıcıları kötü niyetli kodları indirmeye ve çalıştırmaya yönlendirdi. Saldırganlar ayrıca projelerin popülaritesini artırarak güvenilirliklerini yükselttiler. Bu tür bir saldırı, sosyal mühendislik ve teknik yöntemleri birleştirerek tam olarak savunulması zor bir durum oluşturuyor.
Geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı yüksek derecede dikkatli olmaları önerilir, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda. Hata ayıklama gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmak en iyisidir.