Kripto para topluluğunu hedef alan ve giderek artan siber saldırı dalgası karşısında tehdit unsurları, Atomic Wallet ve Exodus dahil olmak üzere yaygın olarak kullanılan Web3 cüzdanlarını tehlikeye atmayı amaçlayan sofistike bir yazılım tedarik zinciri başlattı.
ReversingLabs (RL) araştırmacılarına göre, kötü niyetli saldırı kampanyasının merkezinde JavaScript ve Node.js geliştiricileri için popüler bir platform olan npm paket yöneticisi yer alıyor. Saldırganlar, PDF dosyalarını Microsoft Office formatlarına dönüştürmek için bir yardımcı program olarak yanlış bir şekilde tanıtılan pdf-to-office adlı aldatıcı bir paket yüklüyorlar. Bunun yerine paket, yasal kripto cüzdan yazılımlarının yerel kurulumlarını ele geçirmek için tasarlanmış kötü amaçlı kodlar taşıyor.
Pdf-to-office paketi çalıştırıldıktan sonra, Atomic Wallet ve Exodus’un yerel olarak yüklenmiş sürümlerine sessizce kötü amaçlı yamalar enjekte ediyor. Bu yamalar, meşru kodu, saldırganların kripto para işlemlerini engellemesine ve yeniden yönlendirmesine olanak tanıyan değiştirilmiş bir sürümle değiştiriyor. Uygulamada, para göndermeye çalışan kullanıcılar, işlemlerinin saldırganlar tarafından kontrol edilen bir cüzdana yönlendirildiğini ve herhangi bir görünür müdahale belirtisi olmadığını tespit ediyordu.
Saldırı, ince ve giderek daha popüler hale gelen bir teknikten yararlandı: Kötü niyetli kişiler artık doğrudan upstream açık kaynak paketlerini ele geçirmek yerine, kurbanın sisteminde halihazırda yüklü olan meşru yazılımlara yama uygulayarak zararlı kodları yerel ortamlara yerleştiriyor.
pdf-to-office paketi ilk olarak Mart 2025’te npm’de ortaya çıktı ve art arda birden fazla sürümü yayınlandı. En son sürüm olan 1.1.2, 1 Nisan’da piyasaya sürüldü. RL araştırmacıları, Spectra Assure platformundaki makine öğrenimi odaklı davranış analizini kullanarak paketi tespit etti. Kodun, son npm kötü amaçlı yazılım kampanyalarında yaygın bir kırmızı bayrak olan gizlenmiş JavaScript içerdiği tespit edildi.
Kötü amaçlı paket silindikten sonra bile etkilerinin devam etmesi dikkat çekiciydi. Web3 cüzdanları yamalandıktan sonra, sadece sahte npm paketini kaldırmak tehlikeyi ortadan kaldırmadı. Mağdurların trojan bileşenleri kaldırmak ve cüzdan bütünlüğünü yeniden sağlamak için cüzdan uygulamalarını tamamen kaldırıp yeniden yüklemeleri gerekiyordu.
*Yatırım tavsiyesi değildir.
(っ◔◡◔)っ ♥ KAYNAK ♥
