Siber güvenlik araştırmacıları, popüler yazılımları hedef alan bir yazılım tedarik zinciri saldırısı konusunda uyarıda bulunuyor @solana/web3.js npm kütüphanesi, kripto para birimi cüzdanlarını boşaltmak amacıyla kullanıcıların özel anahtarlarını toplayabilecek iki kötü amaçlı sürümün yayınlanmasını içeriyordu.
Saldırı 1.95.6 ve 1.95.7 sürümlerinde tespit edildi. Bu sürümlerin her ikisi de artık npm kayıt defterinden indirilemez. Paket yaygın olarak kullanılıyor ve haftalık 400.000’den fazla indirmeye ulaşıyor.
Socket, “Bu ele geçirilmiş sürümler, şüphelenmeyen geliştiricilerden ve kullanıcılardan özel anahtarları çalmak için tasarlanmış, potansiyel olarak saldırganların kripto para birimi cüzdanlarını boşaltmasına olanak tanıyan enjekte edilmiş kötü amaçlı kodlar içeriyor.” söz konusu bir raporda.
@solana/web3.js, kullanılabilecek bir npm paketidir etkileşime girmek Node.js ve web uygulamaları oluşturmaya yönelik Solana JavaScript yazılım geliştirme kiti (SDK) ile.
Datadog güvenlik araştırmacısına göre Christophe Tafani-Dereeper“v1.95.7’ye eklenen arka kapı, özel anahtarı görünüşte meşru CloudFlare başlıkları aracılığıyla sızdıran bir ‘addToQueue’ işlevi ekler” ve “bu işleve yapılan çağrılar daha sonra özel anahtara (yasal olarak) erişen çeşitli yerlere eklenir.”
Anahtarların sızdırıldığı komut ve kontrol (C2) sunucusu (“sol-rpc[.]xyz”) şu anda kapalı. 22 Kasım 2024’te alan adı kayıt kuruluşu NameSilo’ya kaydedildi.
Npm paketinin koruyucularının, tehdit aktörlerinin hesapların kontrolünü ele geçirmesine ve hileli versiyonları yayınlamasına olanak tanıyan bir kimlik avı saldırısının kurbanı olduğundan şüpheleniliyor.
Kütüphane yöneticilerinden biri olan Steven Luscher, “Solana dApps tarafından yaygın olarak kullanılan bir JavaScript kütüphanesi olan @solana/web3.js için bir yayınlama erişim hesabının güvenliği ihlal edildi” dedi. söz konusu 1.95.8 sürümünün sürüm notlarında.
“Bu, bir saldırganın, özel anahtar malzemesini çalmasına ve özel anahtarları doğrudan işleyen dApp’lerden (botlar gibi) fonları boşaltmasına olanak tanıyarak, değiştirilmiş yetkisiz ve kötü amaçlı paketleri yayınlamasına olanak tanıdı. Bu sorun, genellikle saklama amaçlı olmayan cüzdanları etkilememelidir. işlemler sırasında özel anahtarları açığa çıkarmayın.”
Luscher ayrıca olayın yalnızca özel anahtarları doğrudan işleyen ve 2 Aralık 2024’te 15:20 UTC ve 20:25 UTC aralığında güncellenen projeleri etkilediğini belirtti.
Bağımlılık olarak @solana/web3.js’ye güvenen kullanıcılara, mümkün olan en kısa sürede en son sürüme güncelleme yapmaları ve tehlikede olduklarından şüphelenirlerse isteğe bağlı olarak yetki anahtarlarını değiştirmeleri tavsiye edilir.
Açıklama, Socket’in, solana-systemprogram-utils adlı sahte bir Solana temalı npm paketinin, işlemlerin %2’sinde kullanıcının fonlarını saldırgan tarafından kontrol edilen sabit kodlu bir cüzdan adresine gizlice yeniden yönlendirmek üzere tasarlanmış olduğu konusunda uyarmasından birkaç gün sonra geldi.
Soket Araştırma Ekibi “Kod, zamanın %98’inde normal şekilde çalışarak amacını akıllıca maskeliyor” söz konusu. “Bu tasarım, saldırganın fonları hortumlamasına izin verirken şüpheyi en aza indiriyor.”
Bu aynı zamanda, meşru kütüphaneler gibi görünen, ancak kimlik bilgilerini ve kripto para birimi cüzdan verilerini aktarmak için kod içeren crypto-keccak, crypto-jsonwebtoken ve crypto-bignumber gibi npm paketlerinin keşfinin ardından, tehdit aktörlerinin güveni nasıl kötüye kullanmaya devam ettiğini bir kez daha vurguluyor. geliştiriciler açık kaynak ekosistemine yerleşiyor.
Güvenlik araştırmacısı Kirill Boychenko, “Kötü amaçlı yazılım, bireysel geliştiricilerin kimlik bilgilerini ve cüzdan verilerini çalarak doğrudan mali kayıplara yol açabilecek şekilde tehdit ediyor.” not edildi. “Kuruluşlar için, güvenliği ihlal edilmiş sistemler, kurumsal ortamlara yayılabilen ve yaygın istismara olanak tanıyan güvenlik açıkları yaratıyor.”
Güncelleme
@solana/web3.js npm kütüphanesini hedef alan yazılım tedarik zinciri saldırısına resmi olarak CVE tanımlayıcısı atandı CVE-2024-54134 (CVSS puanı: 8,3).
Solana araştırma ve geliştirme firması Anza tarafından yayınlanan temel neden analizi, saldırının 3 Aralık 2024’te, hedef odaklı kimlik avı e-postasının yayınlama erişimi olan bir @solana npm kuruluş üyesini hedef almasıyla başladığını ve böylece tehdit aktörünün kimlik bilgilerini çalmasına olanak sağladığını ortaya çıkardı. ve iki faktörlü kimlik doğrulama (2FA) kodu.
Anza, “Bilgisayar korsanı onları özel bir paket üzerinde işbirliği yapmaya davet eden birkaç e-posta gönderdi.” söz konusu. “Davet, ekibin başka bir üyesinden geliyormuş gibi görünecek şekilde hazırlanmış.”
“Başarılı hedef odaklı kimlik avı kampanyası tıklandığında, geliştiriciyi, geliştiricinin npm kullanıcı adını ve şifresini girdiği ve iki faktörlü kimlik doğrulama turunu tamamladığı, bilgisayar korsanı tarafından kontrol edilen npm web sitesinin bir kopyasına yayınlama erişimine yönlendirdi.”
Saldırının, 164.100 dolar (674.86 SOL) değerindeki kripto varlıklarının düşman kontrolündeki bir cüzdana yetkisiz transferine yol açtığı tespit edildi. Sol tarama Ve Solana Kaşifi.
ReversingLabs’ın Baş Yazılım Mimarı Tomislav Peričin, “Açık kaynak ekosistemini hedef alan yazılım tedarik zinciri saldırılarının çoğunluğu, başarı için sosyal mühendislik taktiklerine dayanıyor.” söz konusu. “Bu tür saldırıların çok küçük bir patlama yarıçapı vardır ve keşfedilip kaldırılmadan önce yalnızca birkaç geliştiriciyi etkiler.”
“Bu saldırı, yazılım bütünlüğüne duyulan güvenin tüm zamanların en düşük seviyesinde olduğunu ve açık kaynak güvenliğinin, haberleri takip etmekten ve yeni yayınlanan veya güvenilmeyen paketleri filtrelemekten çok daha büyük bir zorluk olduğunu açıkça hatırlatıyor.”
