Kripto Paralara Yönelik Tehdit: Kötü Amaçlı npm Paketi
Son yıllarda kripto paraların popülaritesi arttıkça, kullanıcıları hedef alan siber saldırılar da yaygınlaşmaya başladı. Özellikle kripto cüzdanı uygulamaları, siber dolandırıcıların hedefinde. Yapılan son araştırmalar, npm (Node Package Manager) üzerinde kötü amaçlı bir paket keşfedildiğini ortaya koydu. Bu paket, Atomic ve Exodus gibi popüler cüzdanlar üzerinde zararlı kod enjekte etmek amacıyla kullanılmakta.
npm Paketinde Gizli Tehdit
Araştırmacılar, nodejs-smtp adlı kötü amaçlı paketin, sahte bir kimlik ile nodemailer adlı gerçek bir e-posta kütüphanesini taklit ettiğini belirttiler. Tasarım ve açıklama olarak tamamen aynı olan bu paket, 2025 Nisan ayında “nikotimon” adlı bir kullanıcı tarafından npm kayıtlarına yüklendi. Yüklenmesinden bu yana toplamda 347 kez indirildi. Bu paket, artık mevcut olmasa da, siber güvenlik açığının ne kadar ciddi olduğunu gözler önüne seriyor.
Nasıl Çalışıyor?
Bu kötü amaçlı paket, Electron araçlarını kullanarak, Atomic Wallet’ın app.asar dosyasını açıyor. Ardından, bu dosyadaki belirli bileşenleri zararlı bir yükle değiştiriyor ve uygulamayı tekrar paketliyor. Tüm bu işlemler gerçekleştirilirken, uygulamanın çalışma dizini silinerek izleri kaybettiriliyor. Soket araştırmacısı Kirill Boychenko, bu sürecin tehlikesine dikkat çekiyor.
Hedef: Kullanıcıların Kripto Paralarını Çalmak
Bu kötü amaçlı paketin ana amacı, alıcı adreslerini hard-coded cüzdanlarla değiştirerek, Bitcoin (BTC), Ethereum (ETH), Tether (USDT ve TRX USDT), XRP (XRP) ve Solana (SOL) gibi kripto para transferlerini yönlendirmek. Sonuç olarak, bu paket bir kripto çalıntı işlevi görüyor ve kullanıcının cüzdanından parayı çalmak için tasarlanmış.
Gizli İşlevsellik ve Geliştiricilerin Dikkatini Çekmeme Stratejisi
Kötü amaçlı paket, aynı zamanda bir SMTP tabanlı e-posta gönderici gibi çalışmakta. Böylece geliştiricilerin dikkatini çekmemek için kullanılan bu işlevsellik, uygulama testlerini geçmesini sağlıyor. Geliştiriciler, bu tür bir bağımlılığın sorgulanmasına fazla sebep vermiyorlar. Özellikle de paket, nodemailer ile uyumlu bir arayüze sahip olduğunda, şüphelenme ihtimali oldukça düşüyor.
Geçmişteki Benzer Olaylar
Bu gelişme, ReversingLabs‘in pdf-to-office adlı bir npm paketi keşfettiği zamanlamayla da örtüşüyor. Bu paket, tıpkı nodejs-smtp gibi, Atomic ve Exodus cüzdanlarının app.asar arşivlerini açarak, içindeki JavaScript dosyasında değişiklik yapıyordu. Bu değişiklikler de clipper fonksiyonunu entegre ediyordu. Her iki olay, bir geliştiricinin rutin bir paket importunun, başka bir masaüstü uygulamasında sessizce değişiklik yapabileceğini gösteriyor.
Sonuç
Kötü amaçlı yazılımların yayılması, kripto para kullanıcılarının güvenliğini tehlikeye atmakta. Sadece kimi zaman dikkat edilmesi gereken basit önlemlerle, birçok potansiyel riski ortadan kaldırmak mümkün. Kullanıcıların her zaman dikkatli olmaları ve indirdikleri paketleri sorgulamaları büyük önem taşıyor. Özellikle, npm gibi platformlar üzerinden yapılan indirmelerin güvenilirliğine dair sorgulayıcı bir bakış açısına sahip olmaları gerekmekte. Kripto para cüzdanlarının güvenliği, sadece bireylerin değil, tüm ekosistemin sağlığı açısından kritik bir öneme sahiptir. Bu yüzden, geliştiricilerin ve kullanıcıların bu tür tehditlere karşı bilinçlenmeleri hayati öneme sahiptir.
