Ünlü bir geliştiricinin NPM hesabı hacklendi ve chalk ile color-convert gibi paketlerin kötü niyetli sürümleri yayımlandı. Bu paketler milyarlarca kez indirildi ve büyük bir tedarik zinciri riski tetiklendi.
Saldırganlar, kripto cüzdan adreslerini neredeyse aynı görseller kullanarak ( Levenshtein mesafesi) ile değiştiren bir pano kaçakçısını gömülü hale getirdi veya tarayıcı tarafından tespit edilen adresleri aktif olarak geçersiz kılmak için işlemleri kesmek amacıyla.
Hacker, şimdiye kadar toplamda yaklaşık ~$496 kazansa da, etkilenen paketlerin çoğu düzeltildi veya kaldırıldı; ana cüzdanlar (örneğin MetaMask, Phantom) etkilenmediğini doğruladı, ancak dikkatli olmakta fayda var.
Büyük bir NPM tedarik zinciri saldırısı, 1 milyardan fazla indirilen yaygın olarak kullanılan JavaScript paketlerini tehlikeye attı ve sessizce fonları çalan kripto-adres kaçakçıları enjekte etti. İşte olanlar ve kendinizi nasıl koruyacağınız.
9 Eylül'de, Pekin saatiyle, Ledger'ın Baş Teknoloji Sorumlusu Charles Guillemet, X platformunda bir uyarı yayınladı: " Büyük ölçekli bir tedarik zinciri saldırısı şu anda devam ediyor ve tanınmış bir geliştiricinin NPM hesabı ele geçirildi. Etkilenen paketler 1 milyardan fazla kez indirildi, bu da tüm JavaScript ekosisteminin tehlikede olabileceği anlamına geliyor."
Guillemet ekledi: "Zararlı kod, fonları çalmak için arka planda kripto para adreslerini sessizce değiştirmek suretiyle çalışıyor. Eğer bir donanım cüzdanı kullanıyorsanız, lütfen imzalanmış her işlemi dikkatlice kontrol edin ve güvende olacaksınız. Eğer bir donanım cüzdanı kullanmıyorsanız, lütfen şimdilik zincir içi işlemler yapmaktan kaçının. Saldırganların yazılım cüzdanlarının anahtar kelimelerini doğrudan çalıp çalmadığı ise belirsiz."
NE OLDU?
Guillemet'in alıntıladığı güvenlik raporuna göre, bu olayın doğrudan nedeni, tanınmış geliştirici @qix'in NPM hesabının hacklenmesi oldu. Bu durum, chalk, strip-ansi ve color-convert dahil olmak üzere düzinelerce yazılım paketinin kötü amaçlı sürümlerinin yayınlanmasına yol açtı. Kötü amaçlı kod, geliştiricilerin veya kullanıcıların bağımlılıkları otomatik olarak yüklediklerinde terminale yayılmış olabilir.
Odaily Notu: Kompromiye edilmiş yazılım paketlerinin haftalık indirme verileri.
Kısacası, bu klasik bir tedarik zinciri saldırısı vakasıdır—bir saldırganın kötü amaçlı kodları ( gibi NPM paketlerini ) geliştirme araçlarına veya bağımlılık sistemlerine yerleştirdiği bir saldırı türüdür. NPM, Node Paket Yöneticisi'nin kısaltmasıdır ve JavaScript/Node.js ekosisteminde en yaygın kullanılan paket yönetim aracıdır. Temel işlevleri arasında bağımlılıkları yönetmek, paketleri yüklemek ve güncellemek, ve kod paylaşmak bulunmaktadır.
NPM ekosistemi son derece büyüktür ve şu anda milyonlarca yazılım paketi mevcuttur. Neredeyse tüm Web3 projeleri, kripto cüzdanlar ve ön uç araçları NPM'e dayanmaktadır. NPM'in çok sayıda bağımlılık ve karmaşık bağlantılara dayanması nedeniyle, tedarik zinciri saldırıları için yüksek riskli bir giriş noktasıdır. Bir saldırgan yaygın olarak kullanılan bir yazılım paketine kötü niyetli kod yerleştirdiği sürece, bu binlerce uygulama ve kullanıcıyı etkileyebilir.
Yukarıdaki kötü niyetli kod yayılım akış diyagramında gösterildiği gibi:
Belirli bir proje (mavi kutu) bazı ortak açık kaynak kütüphanelerine, örneğin express'e doğrudan bağımlı olacaktır.
Bu doğrudan bağımlılıklar (yeşil kutular), dolaylı bağımlılıklara (sarı kutular, örneğin lodash), bağlıdır.
Eğer bir dolaylı bağımlılık bir saldırgan tarafından kötü niyetli kod (kırmızı kutu) ile gizlice yerleştirilirse, bağımlılık zinciri boyunca projeye girecektir.
KRİPTO PARA BİRİMLERİ İÇİN BU NE ANLAMA GELİYOR?
Bu güvenlik olayının kripto para endüstrisi ile doğrudan ilişkisi, hackerlar tarafından yukarıda bahsedilen kirlenmiş yazılım paketine yerleştirilen kötü niyetli kodun, cüzdan adreslerini değiştirerek ve işlemleri ele geçirerek kripto varlıkları çalan karmaşık bir "kripto para panosu kaçırıcı" olmasıdır.
Stress Capital kurucusu GE (@GuarEmperor) bunu X'te daha ayrıntılı açıkladı. Hacker tarafından enjekte edilen "panoya el koyucu", iki saldırı modunu kullanıyor: pasif mod, cüzdan adresini değiştirmek için "Levenshtein mesafe algoritmasını" kullanır; bu, görsel benzerliği nedeniyle tespit edilmesi son derece zordur; aktif mod ise tarayıcıda şifrelenmiş cüzdanı tespit eder ve kullanıcı işlemi imzalamadan önce hedef adresi değiştirmiştir.
Bu saldırı JavaScript proje temel kütüphanelerini hedef aldığı için, bu kütüphanelere dolaylı olarak bağımlı olan projeler bile etkilenebilir.
HACKERLAR NE KADAR KÂR ELDE EDİYOR?
Hacker tarafından yerleştirilen kötü niyetli kod, saldırı adresini de ifşa etti. Hacker'ın Ethereum'daki ana saldırı adresi 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 ve fonlar esasen aşağıdaki üç adresten gelmektedir:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham, kullanıcıların bu saldırıdaki hacker'ın karını ve transfer durumunu gerçek zamanlı olarak kontrol edebileceği bir takip sayfası oluşturdu.
Bu gönderinin yazıldığı tarihte, hackerlar saldırıdan yalnızca 496 $ kazanç elde etti, ancak kötü amaçlı kodun yayılma kapsamının henüz belirlenmediği göz önüne alındığında, bu rakamın artmaya devam etmesi bekleniyor. Geliştirici artık bilgilendirildi ve sorunu çözmek için NPM güvenlik ekibiyle aktif olarak çalışıyor. Kötü amaçlı kod, etkilenen paketlerin çoğundan kaldırıldı, bu nedenle durum kontrol altında.
RİSKLERDEN NASIL KAÇINILIR?
Defillama kurucusu @0xngmi Yu X, bu olayın tehlikeli göründüğünü ancak gerçek etkisinin o kadar abartılı olmadığını söyledi - çünkü bu olay yalnızca hacklenmiş NPM paketinin yayımlandığı tarihten itibaren güncelleme yapmış web sitelerini etkileyecek ve diğer projeler eski versiyonu kullanmaya devam edecek; ayrıca çoğu proje bağımlılıklarını düzeltecek, bu nedenle güncelleme yapsalar bile eski güvenlik kodunu kullanmaya devam edecekler.
Ancak, kullanıcılar bir projenin sabit bağımlılıkları olup olmadığını veya dinamik olarak indirilen bağımlılıkları olup olmadığını gerçekten bilemediğinden, proje tarafının şu anda kendini denetlemesi ve bunu önceden açıklaması gerekmektedir.
Bu gönderinin yazıldığı tarihte, MetaMask, Phantom, Aave, Fluid ve Jupiter gibi birden fazla cüzdan veya uygulama projesinin bu olaydan etkilenmediğini açıkladıkları görülmektedir. Bu nedenle, teorik olarak, kullanıcılar onaylanmış güvenli cüzdanları kullanarak onaylanmış güvenli protokollere erişebilirler. Ancak, henüz güvenlik açıklamaları yapmamış diğer cüzdanlar veya projeler için, onları geçici olarak kullanmaktan kaçınmak daha güvenli olabilir.
〈Gece boyunca, "tedarik zinciri saldırıları" manşetleri domine etti: Ne oldu? Riskleri nasıl azaltabiliriz?〉 Bu makale ilk olarak 《CoinRank》da yayınlandı.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Gece boyunca, "tedarik zinciri saldırıları" manşetleri domine etti: Ne oldu? Riskleri nasıl azaltabiliriz?
Ünlü bir geliştiricinin NPM hesabı hacklendi ve chalk ile color-convert gibi paketlerin kötü niyetli sürümleri yayımlandı. Bu paketler milyarlarca kez indirildi ve büyük bir tedarik zinciri riski tetiklendi.
Saldırganlar, kripto cüzdan adreslerini neredeyse aynı görseller kullanarak ( Levenshtein mesafesi) ile değiştiren bir pano kaçakçısını gömülü hale getirdi veya tarayıcı tarafından tespit edilen adresleri aktif olarak geçersiz kılmak için işlemleri kesmek amacıyla.
Hacker, şimdiye kadar toplamda yaklaşık ~$496 kazansa da, etkilenen paketlerin çoğu düzeltildi veya kaldırıldı; ana cüzdanlar (örneğin MetaMask, Phantom) etkilenmediğini doğruladı, ancak dikkatli olmakta fayda var.
Büyük bir NPM tedarik zinciri saldırısı, 1 milyardan fazla indirilen yaygın olarak kullanılan JavaScript paketlerini tehlikeye attı ve sessizce fonları çalan kripto-adres kaçakçıları enjekte etti. İşte olanlar ve kendinizi nasıl koruyacağınız.
9 Eylül'de, Pekin saatiyle, Ledger'ın Baş Teknoloji Sorumlusu Charles Guillemet, X platformunda bir uyarı yayınladı: " Büyük ölçekli bir tedarik zinciri saldırısı şu anda devam ediyor ve tanınmış bir geliştiricinin NPM hesabı ele geçirildi. Etkilenen paketler 1 milyardan fazla kez indirildi, bu da tüm JavaScript ekosisteminin tehlikede olabileceği anlamına geliyor."
Guillemet ekledi: "Zararlı kod, fonları çalmak için arka planda kripto para adreslerini sessizce değiştirmek suretiyle çalışıyor. Eğer bir donanım cüzdanı kullanıyorsanız, lütfen imzalanmış her işlemi dikkatlice kontrol edin ve güvende olacaksınız. Eğer bir donanım cüzdanı kullanmıyorsanız, lütfen şimdilik zincir içi işlemler yapmaktan kaçının. Saldırganların yazılım cüzdanlarının anahtar kelimelerini doğrudan çalıp çalmadığı ise belirsiz."
NE OLDU?
Guillemet'in alıntıladığı güvenlik raporuna göre, bu olayın doğrudan nedeni, tanınmış geliştirici @qix'in NPM hesabının hacklenmesi oldu. Bu durum, chalk, strip-ansi ve color-convert dahil olmak üzere düzinelerce yazılım paketinin kötü amaçlı sürümlerinin yayınlanmasına yol açtı. Kötü amaçlı kod, geliştiricilerin veya kullanıcıların bağımlılıkları otomatik olarak yüklediklerinde terminale yayılmış olabilir.
Odaily Notu: Kompromiye edilmiş yazılım paketlerinin haftalık indirme verileri.
Kısacası, bu klasik bir tedarik zinciri saldırısı vakasıdır—bir saldırganın kötü amaçlı kodları ( gibi NPM paketlerini ) geliştirme araçlarına veya bağımlılık sistemlerine yerleştirdiği bir saldırı türüdür. NPM, Node Paket Yöneticisi'nin kısaltmasıdır ve JavaScript/Node.js ekosisteminde en yaygın kullanılan paket yönetim aracıdır. Temel işlevleri arasında bağımlılıkları yönetmek, paketleri yüklemek ve güncellemek, ve kod paylaşmak bulunmaktadır.
NPM ekosistemi son derece büyüktür ve şu anda milyonlarca yazılım paketi mevcuttur. Neredeyse tüm Web3 projeleri, kripto cüzdanlar ve ön uç araçları NPM'e dayanmaktadır. NPM'in çok sayıda bağımlılık ve karmaşık bağlantılara dayanması nedeniyle, tedarik zinciri saldırıları için yüksek riskli bir giriş noktasıdır. Bir saldırgan yaygın olarak kullanılan bir yazılım paketine kötü niyetli kod yerleştirdiği sürece, bu binlerce uygulama ve kullanıcıyı etkileyebilir.
Yukarıdaki kötü niyetli kod yayılım akış diyagramında gösterildiği gibi:
Belirli bir proje (mavi kutu) bazı ortak açık kaynak kütüphanelerine, örneğin express'e doğrudan bağımlı olacaktır.
Bu doğrudan bağımlılıklar (yeşil kutular), dolaylı bağımlılıklara (sarı kutular, örneğin lodash), bağlıdır.
Eğer bir dolaylı bağımlılık bir saldırgan tarafından kötü niyetli kod (kırmızı kutu) ile gizlice yerleştirilirse, bağımlılık zinciri boyunca projeye girecektir.
KRİPTO PARA BİRİMLERİ İÇİN BU NE ANLAMA GELİYOR?
Bu güvenlik olayının kripto para endüstrisi ile doğrudan ilişkisi, hackerlar tarafından yukarıda bahsedilen kirlenmiş yazılım paketine yerleştirilen kötü niyetli kodun, cüzdan adreslerini değiştirerek ve işlemleri ele geçirerek kripto varlıkları çalan karmaşık bir "kripto para panosu kaçırıcı" olmasıdır.
Stress Capital kurucusu GE (@GuarEmperor) bunu X'te daha ayrıntılı açıkladı. Hacker tarafından enjekte edilen "panoya el koyucu", iki saldırı modunu kullanıyor: pasif mod, cüzdan adresini değiştirmek için "Levenshtein mesafe algoritmasını" kullanır; bu, görsel benzerliği nedeniyle tespit edilmesi son derece zordur; aktif mod ise tarayıcıda şifrelenmiş cüzdanı tespit eder ve kullanıcı işlemi imzalamadan önce hedef adresi değiştirmiştir.
Bu saldırı JavaScript proje temel kütüphanelerini hedef aldığı için, bu kütüphanelere dolaylı olarak bağımlı olan projeler bile etkilenebilir.
HACKERLAR NE KADAR KÂR ELDE EDİYOR?
Hacker tarafından yerleştirilen kötü niyetli kod, saldırı adresini de ifşa etti. Hacker'ın Ethereum'daki ana saldırı adresi 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 ve fonlar esasen aşağıdaki üç adresten gelmektedir:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham, kullanıcıların bu saldırıdaki hacker'ın karını ve transfer durumunu gerçek zamanlı olarak kontrol edebileceği bir takip sayfası oluşturdu.
Bu gönderinin yazıldığı tarihte, hackerlar saldırıdan yalnızca 496 $ kazanç elde etti, ancak kötü amaçlı kodun yayılma kapsamının henüz belirlenmediği göz önüne alındığında, bu rakamın artmaya devam etmesi bekleniyor. Geliştirici artık bilgilendirildi ve sorunu çözmek için NPM güvenlik ekibiyle aktif olarak çalışıyor. Kötü amaçlı kod, etkilenen paketlerin çoğundan kaldırıldı, bu nedenle durum kontrol altında.
RİSKLERDEN NASIL KAÇINILIR?
Defillama kurucusu @0xngmi Yu X, bu olayın tehlikeli göründüğünü ancak gerçek etkisinin o kadar abartılı olmadığını söyledi - çünkü bu olay yalnızca hacklenmiş NPM paketinin yayımlandığı tarihten itibaren güncelleme yapmış web sitelerini etkileyecek ve diğer projeler eski versiyonu kullanmaya devam edecek; ayrıca çoğu proje bağımlılıklarını düzeltecek, bu nedenle güncelleme yapsalar bile eski güvenlik kodunu kullanmaya devam edecekler.
Ancak, kullanıcılar bir projenin sabit bağımlılıkları olup olmadığını veya dinamik olarak indirilen bağımlılıkları olup olmadığını gerçekten bilemediğinden, proje tarafının şu anda kendini denetlemesi ve bunu önceden açıklaması gerekmektedir.
Bu gönderinin yazıldığı tarihte, MetaMask, Phantom, Aave, Fluid ve Jupiter gibi birden fazla cüzdan veya uygulama projesinin bu olaydan etkilenmediğini açıkladıkları görülmektedir. Bu nedenle, teorik olarak, kullanıcılar onaylanmış güvenli cüzdanları kullanarak onaylanmış güvenli protokollere erişebilirler. Ancak, henüz güvenlik açıklamaları yapmamış diğer cüzdanlar veya projeler için, onları geçici olarak kullanmaktan kaçınmak daha güvenli olabilir.
〈Gece boyunca, "tedarik zinciri saldırıları" manşetleri domine etti: Ne oldu? Riskleri nasıl azaltabiliriz?〉 Bu makale ilk olarak 《CoinRank》da yayınlandı.