Solana ekosistemi NPM kötü niyetli paket saldırısı analizi

2025 Temmuz başında, Solana ekosisteminde kötü niyetli NPM paketinin neden olduğu bir güvenlik olayı gerçekleşti ve bu durum birçok kullanıcının varlıklarının çalınmasına yol açtı. Bu makalede, olayın gelişimi detaylı bir şekilde incelenecektir.

Olayın Nedeni

Olay, GitHub'da barındırılan bir açık kaynak projesi "solana-pumpfun-bot"tan kaynaklanıyor. Bu proje görünüşte Solana ekosistemine ait bir ticaret botu, ancak aslında kötü niyetli kodlar içeriyor. Bir kullanıcı, projeyi kullandıktan sonra kripto varlıklarının aniden aktarılmış olduğunu fark etti ve hemen güvenlik ekibinden yardım istedi.

Teknik Analiz

Güvenlik araştırmacıları projeyi derinlemesine inceledi ve aşağıdaki kritik sorunları tespit etti:

1. Proje anormalliği: Bu GitHub deposunun Star ve Fork sayısı oldukça yüksek, ancak kod gönderim kayıtları kısa bir süre içinde yoğunlaşmış, sürekli güncelleme özelliğinden yoksun.

2. Kötü niyetli bağımlılık: Proje, "crypto-layout-utils" adlı şüpheli bir üçüncü taraf paketi kullanıyor. Bu paket, NPM resmi sitesinden kaldırılmıştır ve sürüm numarası NPM'nin geçmişinde bulunmamaktadır.

3. Paket indirme bağlantısı değiştirildi: package-lock.json dosyasında, "crypto-layout-utils" indirme bağlantısı bir GitHub release bağlantısıyla değiştirildi.

4. Kod karıştırma: İndirilen şüpheli paket jsjiami.com.v7 ile yüksek derecede karıştırılmıştır ve analiz zorluğunu artırmaktadır.

5. Kötü niyetli davranış: Karıştırma işlemi sonrasında, araştırmacılar paketin kullanıcı bilgisayarındaki hassas dosyaları taradığını, cüzdan veya özel anahtar ile ilgili içerik bulursa bunu saldırganların kontrolündeki sunucuya yüklediğini tespit ettiler.

6. Saldırı alanı genişledi: Saldırganların birden fazla GitHub hesabını kontrol ettiği ve kötü amaçlı projeleri Forklayarak Star sayısını artırdığı, böylece daha fazla kullanıcı çekmeye çalıştığı iddia ediliyor.

7. Birden fazla kötü amaçlı versiyon: Araştırmalar, başka bir kötü amaçlı paket olan "bs58-encrypt-utils"'ın da bulunduğunu ortaya çıkardı ve saldırı faaliyetlerinin 2025 yılı Haziran ortasından itibaren başlamış olabileceği tahmin ediliyor.

8. Fon Akışı: Zincir üstü analiz araçlarıyla izlenerek, çalınan fonların bir kısmının belirli bir ticaret platformuna aktarıldığı tespit edilmiştir.

Saldırı Yöntemleri Özeti

Saldırganlar, meşru açık kaynak projelerine benzer şekilde davranarak kullanıcıları kötü niyetli bağımlılıklar içeren Node.js projelerini indirmeye ve çalıştırmaya teşvik ediyor. Saldırganlar ayrıca projenin güvenilirliğini ve yayılma alanını artırmak için birden fazla GitHub hesabını bir arada kullanıyor. Sosyal mühendislik ve teknik yöntemlerin bir araya geldiği bu saldırı türü, son derece aldatıcıdır ve önlenmesi zordur.

Güvenlik Önerileri

1. Kaynağı belirsiz GitHub projelerine, özellikle cüzdan veya özel anahtar işlemleriyle ilgili projelere dikkat edin.

2. Bilinmeyen projeleri çalıştırırken ve hata ayıklarken, bağımsız ve hassas veriler içermeyen bir ortam kullanılması önerilir.

3. Proje bağımlılıklarını düzenli olarak kontrol edin, NPM gibi paket yönetim platformlarının güvenlik duyurularını takip edin.

4. Güvenilir güvenlik araçları ve hizmetleri kullanarak potansiyel tehditleri zamanında tespit edin.

5. Geliştirme ekiplerinin güvenlik farkındalığı eğitimini güçlendirin, tetikte olun.

Bu olay, Web3 ekosisteminde güvenliğin her zaman en önemli öncelik olduğunu bir kez daha hatırlatıyor. Geliştiriciler ve kullanıcılar, ekosistem güvenliğini birlikte korumak için yüksek bir dikkat sergilemelidir.