Solana kullanıcıları varlık hırsızlığına maruz kaldı: Kötü niyetli NPM paketi Özel Anahtarları çalıyor

Son günlerde, Solana kullanıcılarına yönelik bir varlık hırsızlığı olayı güvenlik uzmanlarının dikkatini çekti. Olay, GitHub'da barındırılan bir açık kaynak projesinden kaynaklandı ve bu projede kullanıcıların özel anahtar bilgilerini çalabilen kötü amaçlı bir NPM paketi bulunuyordu.

Olay 2 Temmuz 2025'te başladı; bir kullanıcı, "solana-pumpfun-bot" adlı GitHub projesini kullandıktan sonra kripto varlıklarının çalındığını fark etti. Güvenlik ekibi hemen bir soruşturma başlattı ve projenin birçok şüpheli yanı olduğunu keşfetti.

Öncelikle, projenin kod güncellemeleri üç hafta önceye odaklanmış olup sürekli bakım özellikleri göstermemektedir. İkincisi, proje, NPM resmi sitesinden kaldırılan ve belirtilen sürümü NPM resmi geçmişinde yer almayan "crypto-layout-utils" adlı bir üçüncü taraf pakete bağımlıdır.

Daha fazla araştırma, saldırganların package-lock.json dosyasında crypto-layout-utils'in indirme bağlantısını değiştirdiğini ve bir GitHub deposundaki bir dosyaya yönlendirdiğini ortaya çıkardı. Bu dosya yüksek derecede karışık hale getirilmiş, analiz zorluğunu artırmıştır.

Karmaşayı çözdükten sonra, güvenlik ekibi bunun kötü niyetli bir NPM paketi olduğunu doğruladı. Bu paket, kullanıcı bilgisayarındaki dosyaları tarayarak cüzdan veya Özel Anahtar ile ilgili içerikleri arayabiliyor ve bulunan hassas bilgileri saldırganların kontrolündeki sunucuya yüklüyor.

Saldırganlar, kötü amaçlı yazılımlar dağıtmak ve projelerin Star ve Fork sayısını artırmak için birden fazla GitHub hesabını kontrol ediyor gibi görünüyor, böylece daha fazla kullanıcı çekiyorlar. crypto-layout-utils dışında, benzer saldırılar için kullanılan başka bir kötü amaçlı paket de bs58-encrypt-utils olarak adlandırılıyor.

Chain üzerinde analiz araçları sayesinde, güvenlik ekibi çalınan fonların bir kısmının belirli bir ticaret platformuna doğru hareket ettiğini izledi.

Bu saldırı olayı, açık kaynak projelerinde gizli olan güvenlik risklerini ortaya çıkardı. Saldırganlar, meşru projeleri taklit ederek kullanıcıları kötü amaçlı kod içeren programları indirmeye ve çalıştırmaya teşvik ettiler. Birden fazla GitHub hesabının işbirliği, saldırının güvenilirliğini ve yayılma alanını artırdı.

Benzer saldırıları önlemek için, geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı son derece dikkatli olmaları önerilir, özellikle cüzdan veya Özel Anahtar işlemleriyle ilgili projelerde. Hata ayıklama gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmak en iyisidir.

Bu olay, birden fazla kötü niyetli GitHub deposu ve NPM paketi ile ilgilidir. Güvenlik ekibi, birden fazla şüpheli GitHub proje bağlantısı, kötü niyetli NPM paket adları ve bunların indirme bağlantıları ile saldırganların kullandığı veri yükleme sunucusu adresini içeren ilgili bilgileri derlemiştir. Bu bilgiler, benzer saldırıları tanımlamak ve önlemek için kritik öneme sahiptir.