Dikkat: Kripto Para Cüzdanlarını Boşaltan Yeni Virüs Tespit Edildi! İşte Suçlu Program ve Yapılması Gerekenler

Siber güvenlik firması SlowMist, GitHub’da yayımlanan ve toplulukta dikkat çeken açık kaynaklı “solana-pumpfun-bot” adlı projenin kullanıcı cüzdanlarını hedef alan bir dolandırıcılık planı içerdiğini ortaya çıkardı. Şirketin verdiği bilgiye göre, projeyi çalıştıran kullanıcıların cüzdanlarındaki kripto paralar çalındı ve fonların bir kısmı FixedFloat adlı platforma aktarıldı.

Olay, 2 Temmuz 2025’te mağdur bir kullanıcının SlowMist ekibine başvurmasıyla ortaya çıktı. Kullanıcının ifadesine göre, bir gün önce GitHub’daki “zldp2002/solana-pumpfun-bot” projesini kullanmaya başladıktan sonra cüzdanındaki kripto paralar çalındı.

SlowMist’in olay sonrası yürüttüğü analizde, projenin Node.js tabanlı olduğu ve “crypto-layout-utils” adlı şüpheli bir üçüncü taraf pakete bağımlı çalıştığı tespit edildi. Bu paket, NPM’in resmi kayıtlarında yer almıyor ve platformdan kaldırılmış durumda. Yapılan incelemelerde, kötü niyetli yazılımcıların paket-lock.json dosyasındaki bağlantıyı değiştirerek kullanıcıları zararlı bir yazılım yüklemeye yönlendirdiği belirlendi.

SlowMist uzmanları, indirilen “crypto-layout-utils-1.3.1” paketinin karmaşık ve gizlenmiş kodlar içerdiğini, çözümleme sonrası bu kodların kullanıcı bilgisayarındaki cüzdan ve özel anahtar içeren dosyaları taradığını ve bu verileri “githubshadow.xyz” adlı saldırgana ait bir sunucuya gönderdiğini açıkladı.

Ayrıca analizlerde, söz konusu projenin geliştiricisi olduğu öne sürülen GitHub kullanıcısının (zldp2002) çok sayıda sahte hesabı kontrol ettiği ve bu hesaplar aracılığıyla projeyi fork’layarak daha fazla kullanıcıya ulaşmayı hedeflediği bildirildi. Bazı fork’larda ise farklı bir zararlı NPM paketi olan “bs58-encrypt-utils-1.0.3” kullanılmış.

Olay sonrası SlowMist, MistTrack isimli zincir üstü analiz aracıyla yaptığı takipte, saldırganların çaldıkları kripto paraların bir kısmını FixedFloat platformuna aktardığını tespit etti. Zararlı yazılım saldırısının 12 Haziran 2025’ten bu yana aktif olduğu düşünülüyor.

SlowMist, özellikle özel anahtar veya cüzdan işlemleri içeren projelerde, GitHub gibi açık kaynak kod platformlarından indirilen yazılımlara karşı kullanıcıların son derece dikkatli olması gerektiğini söyledi. Zorunlu durumlarda bu tür projelerin, hassas veri içermeyen izole bir makinede çalıştırılması önerildi.

*Yatırım tavsiyesi değildir.