Gün geçmiyor ki kripto paralar yeni siber saldırılarla gündeme gelmesin. Siber saldırganlar büyük ganimetler ele geçirme iştahıyla her yolu deniyor. Son saldırıda kod kütüphaneleri yaygın biçimde kullanılan bir geliştiricinin hesabı ele geçirildi. Ledger gibi donanım cüzdanı kullananların bir süre işlem yapmaması tavsiye ediliyor.
Donanım Cüzdan Saldırısı
Kripto para yatırımcıları merkezi borsa riski almamak ve varlıklarını cihazlarında tutmamak için harici donanım cüzdanları kripto paraları için kasa gibi kullanıyor. Bunlar diğer cüzdanlara göre daha güvenli olsa da Ledger gibi donanım cüzdanlarını etkileyen saldırı yöntemleri de var. Bugün Ledger uygulamasının Teknoloji Direktörü Charles Guillenet önemli bir uyarı yayınladı.
“Büyük çaplı bir kaynak dağıtım zinciri saldırısı devam ediyor: saygın bir geliştiricinin NPM hesabı ele geçirildi. Etkilenen paketler şimdiden 1 milyardan fazla indirildi, bu da tüm JavaScript ekosisteminin risk altında olabileceği anlamına geliyor.
Kötü amaçlı yük, fonları çalmak için kripto adreslerini anında sessizce değiştirerek çalışıyor.
Donanım cüzdanı kullanıyorsanız, imzalamadan önce her işlemi dikkatlice inceleyin, böylece güvende olursunuz.
Donanım cüzdanı kullanmıyorsanız, şimdilik zincir üzerinde herhangi bir işlem yapmaktan kaçının. Saldırganın bu aşamada yazılım cüzdanlarından da doğrudan tohumları çalıyor olup olmadığı henüz belli değil.”
Jdstaerk bunu ilk defa ortaya çıkaran isim oldu ve şunları yazdı;
“Popüler npm paketi error-ex (haftalık 47 milyondan fazla indirme) tehlikeye girdi. 1.3.3 sürümü kötü amaçlı kod içeriyor.
Ağ isteklerini ve cüzdan işlemlerini ele geçirerek alıcı adreslerini saldırganın adresleriyle değiştiren ve kripto para çalan bir “kripto-klipper”dır.”
Kripto Para Yatırımcılarına Uyarı
JS kütüphanelerini ilgilendiren önemli bir saldırı var. Bunu basit biçimde şöyle anlatabilirim. Ünlü bir kitap yazarı düşünün, bu öylesine büyük bir yazar ki diğer yazarlar, içerik üreticileri bunun kitaplarından alıntılar yapıyor. Hacklenen NPM kütüphanesi bu yazarım geliştirdiği kod yapılarının, birleşik kod ürünlerin değiştirilebileceği anlamına geliyor. Yani yazardan alıntı yapanların alıntıları bir anda asıl kaynaktaki gibi değil saldırganın değiştirdiği şekilde görülebiliyor.
Geliştiricinin NPM kütüphanesini kullanarak bir DeFi platformu veya donanım cüzdanı arayüzü ya da normal cüzdan arayüzü geliştiren bir yazılımcı aniden kaynak yazılımın koduna zararlı blokların eklenmesi sürpriziyle karşı karşıya kalıyor. Kötü niyetli kişi 1 milyondan fazla geliştiricinin kullandığı kod kütüphanelerinde oynama yaparak aslında güvenli olan internet sitesi veya cüzdanları güvensiz hale getirebiliyor.
Mesela transfer işlemlerinde alıcı cüzdanı otomatik kendi adresiyle değiştirebiliyor. Ya da cüzdanın tohum kelimelerini ele geçirebiliyor. Kaynak olarak kullanılan güvenilir bir kütüphaneyi ele geçiren saldırgan bu kütüphanedeki kod blokları üzerinde de değişiklik yetkisi elde ettiğinden, 1 milyondan fazla geliştirici bu kod bloklarını uzaktan çağırarak kullandığından hangi internet sitesinde ne tür bir saldırı yöntemi deneneceği belirsiz. Tüm bu sebeplerden ötürü kripto donanım cüzdanlardan bir süre işlem yapmamak, akıllı sözleşmelerde işlem yapmaya bir süre ara vermek mantıklı gibi görünüyor.
Geliştiricilerin yapabileceği şey ise saldırıya uğrayan error-ex’i 1.3.2 sürümüne sabitleyip yeni zararlı sürümü sistemlerinden uzak tutmaktır.
“package.json dosyanızdaki overrides özelliğini kullanın. Derleme ardışık düzenlerinde npm install yerine npm ci kullanın.” – Jdstaerk
