Bir Node.js geliştiricisine yönelik kimlik avı saldırısı, npm paketlerinde kötü amaçlı koda yol açarak Ethereum ve Solana cüzdanlarını hedef aldı ve haftalık 2 milyardan fazla indirmeyi etkiledi.

Yönetici Özeti

Saldırganlar, kimlik avı saldırısı yoluyla yaygın olarak kullanılan npm paketlerini ele geçirerek, kripto para çalmak amacıyla kötü amaçlı kod enjekte etti. 8 Eylül 2025'te keşfedilen saldırı, işlemleri engelleyerek ve yönlendirerek Ethereum ve Solana cüzdanlarını hedef aldı. Saldırgan için anlık finansal kazanç minimal olsa da, olay yazılım tedarik zincirindeki kritik güvenlik açıklarını ortaya çıkardı ve Web3 ekosisteminin güvenliği hakkında endişeleri artırdı.

Detaylı Olay

Saygın bir açık kaynak geliştiricisi olan Josh Junon (diğer adıyla qix), npmjs.help taklidi yapan bir kimlik avı e-postası aracılığıyla ele geçirildi. Saldırgan, Junon'un npm hesabının kontrolünü ele geçirdi ve chalk, debug ve ansi-styles gibi popüler kütüphaneler de dahil olmak üzere 18 pakete kötü amaçlı kod enjekte etti ve bu durum haftalık 2 milyardan fazla indirmeyi etkiledi. Kötü amaçlı kod, kripto para birimi işlemlerini hedefleyerek, özellikle ağ trafiğindeki Ethereum, Solana, Bitcoin, Tron, Litecoin ve Bitcoin Cash cüzdan adreslerini izledi. Kod, işlem hedeflerini yeniden yazarak meşru adresleri saldırgan kontrolündeki adreslerle değiştirir ve imzasız işlemleri, kullanıcı imzalamadan önce alıcıları ve miktarları değiştirerek düzenler.

Piyasa Etkileri

Saldırı, Web3 ekosisteminin tedarik zinciri ihlallerine karşı savunmasızlığını vurgulamaktadır. Binance'in hiçbir kullanıcı verisinin veya varlığının tehlikeye atılmadığına dair açıklamasına rağmen, olay açık kaynaklı yazılımların güvenliği ve kripto para kullanıcılarını hedef alan büyük ölçekli saldırı potansiyeli hakkında daha geniş endişeleri artırmaktadır. Bu olay, yazılım bağımlılıklarının daha sıkı incelenmesine ve Node.js ekosisteminde daha sıkı güvenlik önlemlerinin alınmasına yol açabilir. Güvenlik ekipleri sistemleri güncellemek için önemli maliyetlerle karşı karşıyadır.

Uzman Yorumları

"Bugünlerde açık kaynaklı yazılım bile güvenli değil. Web3, Web2 için güvenliği yeniden tanımlayacak," dedi Binance kurucu ortağı Changpeng Zhao (CZ), sosyal platform X'te.

Donanım cüzdanı üreticisi Ledger'ın baş teknoloji sorumlusu Charles Guillemet, kötü amaçlı kodun bir milyardan fazla indirilmeye sahip paketlere yayıldığını belirtti.

Daha Geniş Bağlam

Saldırı, yazılım tedarik zinciri içinde güçlü güvenlik önlemlerinin önemini vurgulamaktadır. Benzer saldırıları hafifletmeye yönelik tavsiyeler şunlardır: npm bağımlılıklarını düzenli olarak denetlemek, tutarlı bağımlılık sürümlerini sağlamak için package-lock.json kullanmak, paket yayıncılarını doğrulamak ve beklenmeyen paket güncellemelerini izlemek. Olay, siber suçluların sofistike kimlik avı kampanyaları ve tedarik zinciri saldırıları yoluyla kripto para birimi altyapısını hedef almasındaki artan bir eğilimi yansıtmaktadır. Güvenlik araştırmacılarının belirttiği gibi, 2025'teki neredeyse her büyük saldırı kripto para birimi altyapısını hedef aldı ve kimlik avı kampanyaları sıfır gün açıklarından daha etkili oldu.