.png)
Siber Suçlular Ethereum Geliştiricilerini Sahte Hardhat npm Paketleriyle Hedef Alıyor
Siber güvenlik araştırmacıları, npm kayıt defterinde, geliştirici sistemlerinden hassas verileri çalmak için Nomic Foundation'ın Hardhat aracını taklit ettiği tespit edilen birkaç kötü amaçlı paket ortaya çıkardı.
Socket araştırma ekibi bir analizde, "Saldırganlar, açık kaynaklı eklentilere olan güvenden yararlanarak, kötü amaçlı npm paketleri aracılığıyla bu platformlara sızdı ve özel anahtarlar, anımsatıcılar ve yapılandırma ayrıntıları gibi kritik verileri sızdırdı" dedi.
Hardhat, akıllı sözleşmeleri ve merkezi olmayan uygulamaları (dApp'ler) düzenlemek, derlemek, hata ayıklamak ve dağıtmak için çeşitli bileşenleri içeren Ethereum yazılımı için bir geliştirme ortamıdır.
Tespit edilen sahte paketlerin listesi aşağıdaki gibidir:
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- node-validators
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
Bu paketlerden @nomicsfoundation/sdk-test 1.092 indirme çekti. Bir yıldan fazla bir süre önce Ekim 2023'te yayınlandı. Kurulduktan sonra, Hardhat ortamından anımsatıcı ifadeleri ve özel anahtarları toplamak için tasarlanırlar ve ardından saldırgan tarafından kontrol edilen bir sunucuya aktarılırlar.
"Saldırı, güvenliği ihlal edilmiş paketler kurulduğunda başlar. Bu paketler, özel anahtarlar, anımsatıcılar ve yapılandırma dosyaları gibi hassas ayrıntıları toplamak için hreInit() ve hreConfig() gibi işlevleri kullanarak Hardhat çalışma zamanı ortamından yararlanıyor" dedi.
"Toplanan veriler, saldırgan tarafından kontrol edilen uç noktalara iletilir ve kolaylaştırılmış sızıntı için sabit kodlanmış anahtarlar ve Ethereum adreslerinden yararlanılır."
Açıklama, Ethereum akıllı sözleşmelerindeki güvenlik açıklarını tespit etmek için bir kitaplık gibi görünen ancak bunun yerine Quasar RAT kötü amaçlı yazılımını bırakmak için işlevsellik barındıran ethereumvulncontracthandler adlı başka bir kötü amaçlı npm paketinin keşfedilmesinden günler sonra geldi.
Son aylarda, komuta ve kontrol (C2) sunucu adresi dağıtımı için Ethereum akıllı sözleşmelerini kullanan ve virüslü makineleri MisakaNetwork adlı blok zinciri destekli bir botnet'e dahil eden kötü amaçlı npm paketleri de gözlemlendi. Kampanya, "_lain" adlı Rusça konuşan bir tehdit aktörüne kadar takip edildi.
Socket, "Tehdit aktörü, paketlerin genellikle çok sayıda bağımlılığa dayandığı ve karmaşık bir 'iç içe geçmiş bebek' yapısı oluşturduğu doğal bir npm ekosistemi karmaşıklığına işaret ediyor" dedi.
"Bu bağımlılık zinciri, kapsamlı güvenlik incelemelerini zorlaştırıyor ve saldırganların kötü amaçlı kod tanıtması için fırsatlar sunuyor. _lain, geliştiricilerin her bir paketi ve bağımlılığı incelemesinin pratik olmadığını bilerek, NPM ekosistemlerindeki bu karmaşıklık ve bağımlılık yayılımından yararlandığını itiraf ediyor."
Hepsi bu değil. Npm, PyPI ve RubyGems ekosistemlerinde ortaya çıkarılan bir dizi sahte kitaplığın, hassas verileri saldırgan kontrolündeki sunuculara sızdırmak için oastify.com ve oast.fun gibi bant dışı uygulama güvenlik testi (OAST) araçlarından yararlandığı bulundu.
Paketlerin isimleri aşağıdaki gibidir -
- adobe-dcapi-web (npm), Rusya'da bulunan Windows, Linux ve macOS uç noktalarının güvenliğini ihlal etmekten kaçınır ve sistem bilgilerini toplama yetenekleriyle birlikte gelir
- sistem meta verilerini toplayan monoliht (PyPI)
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems), hassas bilgileri DNS sorguları aracılığıyla bir oastify.com uç noktasına aktarmak için tasarlanmış gömülü komut dosyaları içerir
Socket araştırmacısı Kirill Boychenko, "Etik güvenlik değerlendirmeleri için oluşturulan aynı araçlar ve teknikler tehdit aktörleri tarafından kötüye kullanılıyor" dedi. "Başlangıçta web uygulamalarındaki güvenlik açıklarını ortaya çıkarmayı amaçlayan OAST yöntemleri, veri çalmak, komuta ve kontrol (C2) kanalları oluşturmak ve çok aşamalı saldırılar yürütmek için giderek daha fazla kullanılıyor."
Bu tür paketlerin oluşturduğu tedarik zinciri risklerini azaltmak için, yazılım geliştiricilerin paketin orijinalliğini doğrulamaları, paket adlarını yazarken dikkatli olmaları ve yüklemeden önce kaynak kodunu incelemeleri önerilir.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Adalet Bakanlığı, siber suç aklamada kullanılan kripto karıştırıcıları işletmekle üç Rus'u suçladı
CrowdStrike, XMRig Cryptominer ile İş Arayanları Hedefleyen Kimlik Avı Dolandırıcılığına Karşı Uyardı
Siber Suçlular Ethereum Geliştiricilerini Sahte Hardhat npm Paketleriyle Hedef Alıyor
Kuzey Koreli Hackerlar Bulaşıcı Röportaj Kampanyasında OtterCookie Kötü Amaçlı Yazılımını Dağıtıyor
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı