Web3 Geliştiricileri Hedefleyen Tehditler
Son dönemde, finansal motive kaynaklı bir siber saldırı dalgası, Web3 geliştiricilerini hedef alıyor. EncryptHub, LARVA-208 ve Water Gamayun olarak da bilinen bu siber suçlu grubu, geliştiricilere bilgi çalmak amacıyla tasarlanmış bir malware türü olan infostealer kullanıyor. İlgili Cybersecurity şirketi PRODAFT, söz konusu grubun sahte AI platformları aracılığıyla kurbanlarını kandırdığını ve onlara iş teklifleri sunarak etkilemeye çalıştığını belirtti.
Malware Kullanım Stratejileri
EncryptHub, yaptığı bu yeni saldırı kampanyasında, iş bulmak isteyen Web3 geliştiricilerine gönderilen sahte bağlantılar kullanarak zararlı yazılımlarını yaymayı başardı. Örneğin, Norlax AI adı verilen sahte platform, geliştiricileri toplamak için kullanılmakta. Burada amaç, geliştiricilerin iş mülakatları veya portföy incelemeleri hakkında konuşurken daha önce yüklemedikleri zararlı yazılımları indirmelerini sağlamak.
Geliştiricilere gönderilen toplantı linkleri, X ve Telegram gibi platformlar üzerinden paylaşılmakta. Web3 alanında çalışmalar yapan kişilerin, bu bağlantılara tıklamaları bekleniyor. Ayrıca, Remote3 adındaki bir iş ilanı platformunda çalışanlar için ayrıca sahte bağlantılar gönderiliyor. Sadece birkaç basit adımda, potansiyel kurbanlar kötü niyetli yazılımları indirerek bilgilerini kaybetme riski ile karşı karşıya kalıyorlar.
İlk Temas ve Sahte Bağlantılar
Attackers, Remote3 tarafından sağlanan güvenlik uyarılarını atlatmayı başardılar. Bu aşamada, öncelikle Google Meet üzerinden bir ilk görüşme yapılıyor. Görüşmenin ardından, potansiyel kurbanlar Norlax AI üzerinde devam etmeye ikna ediliyor. Maalesef, burada yapılacak ilk adım, zararlı yazılımı indirecek olan sahte bir “hata mesajı”nı tıklamakta sürükleniyor.
Bu sahte hata, kullanıcıların e-posta adreslerini ve davet kodlarını girmesine yol açıyor. Ardından, bu bilgilerle kötü niyetli yazılım olan Fickle Stealer devreye giriyor ve tüm gerekli bilgileri dış bir sunucuya iletiyor.
Yeni Yaklaşımlar ve Ransomware Tehditleri
Bu gelişmeler ortaya çıktıkça, Trustwave SpiderLabs tarafından keşfedilen KAWA4096 adlı yeni bir yazılım da dikkat çekiyor. KAWA4096, yapı olarak Akira ransomware grubuna benzemekte ve bir fidye notu formatı Qilin’e benziyor. İlk olarak 2025 yılında ortaya çıkan bu ransomware, özellikle Amerika Birleşik Devletleri ve Japonya’daki 11 şirkete hedef almış durumda.
KAWA4096’nın dikkat çekici özelliklerinden biri de, paylaşımlı ağ sürücülerindeki dosyaları şifreleyebilmesi. Güvenlik araştırmacıları, bu yazılımın etkinliğini artırmak için çoklu iş parçacığını kullandığını belirtiyor. Bu teknik, şifreleme işlemlerinin daha da hızlanmasını sağlıyor.
Crux ve Yeni Tehditler
Başka bir ransomware olan Crux, BlackByte grubuna ait olduğunu iddia ediyor ve 2025’in Temmuz ayının başlarında üç ayrı olayda kullanıldığı tespit edildi. Kötü niyetli kişiler, hedef ağda geçerli kimlik bilgilerini kullanarak sızmayı başarmışlar.
Tüm bu saldırılarda, Windows’un meşru araçları olan svchost.exe ve bcdedit.exe gibi süreçlerin kullanılması dikkat çekiyor. Bu durum, siber suçluların gizli komutları yürütme ve sistem kurtarma önlemlerini devre dışı bırakma çabalarının bir yansıması.
Korunma Yöntemleri ve Çözüm Önerileri
Web3 geliştiricilerini koruma konusunda atılacak adımlar büyük önem taşıyor. Kullanıcıların, tanımadıkları platformlardan gelen bağlantılara tıklamamaları ve şüpheli e-postaları dikkate almamaları gerekiyor. Ayrıca, endpoint detection and response (EDR) sistemleri sayesinde şüpheli davranışların tespit edilmesi sağlanabilir. Bu tür güvenlik önlemleri, geliştirilerecek projelerin ve kişisel verilerin güvenliği açısından kritik bir rol oynar.
Web3 üzerine çalışan geliştiricilerin, bu tür tehditlerle daha fazla karşılaşacağı öngörülüyor. Bu yüzden, sürekli güncellenen güvenlik bilgileri ve yazılımları kullanmak, projenin sürdürülebilirliği açısından büyük önem taşıyor. Bir diğer öneri de, ekip içinde bilgi paylaşımının artırılmasıdır.
