Yeni Tehdit: NPM Paketlerinde Kötü Amaçlı Yazılımlar
Son dönemde npm paket kaydı üzerinde dikkat çekici bir keşif yapıldı. Dört yeni kötü amaçlı paket, Ethereum geliştiricilerinin kripto para cüzdanı kimlik bilgilerini çalma yeteneğine sahip olduğunun tespit edilmesiyle gündeme geldi. Bu paketler, Flashbots MEV (Maximal Extractable Value) altyapısını ve meşru kriptografik araçları taklit ederek, kullanıcıları dolandırmaya çalışıyor.
Kötü Amaçlı Paketlerin Özellikleri
Socket araştırmacısı Kush Pandya, bu paketlerin kullanıcıları nasıl kandırdığını ayrıntılı bir şekilde açıkladı. Paketler, bir Telegram botuna gizlice özel anahtarlar ve mnemonik tohumlar göndererek çalışıyor. Kullanıcılar, bu paketleri indirdiklerinde gerçek bir hizmet aldıklarını zannederek, farkında olmadan kendi cüzdan bilgilerini tehlikeye atmış oluyorlar.
Paketlerden biri olan @flashbotts/ethers-provider-bundle, kullanıcıların dikkatini çekmek için Flashbots API uyumunu sunduğunu iddia ediyor. Ancak aslında, kullanıcıların çevre değişkenlerini SMTP üzerinden Mailtrap kullanarak çalıyor. Aynı zamanda, imzasız tüm işlemleri hedef cüzdan adresine yönlendiren bir işlem manipülasyonu işlevine de sahip.
Paketlerin Dağıtım Süreci
Bu kötü amaçlı paketler, “flashbotts” adını kullanan bir kullanıcı tarafından npm’ye yüklendi. İlk yükleme, Eylül 2023’te gerçekleşti. En son yükleme ise 19 Ağustos 2025 tarihinde yapıldı. Hâlâ mevcut olan bu paketler, dikkatli geliştiricileri hedef alıyor.
İkinci bir paket olan flashbot-sdk-eth, özel anahtarları çalmaya yönelik tasarlanmışken, gram-utilz genel verileri tehdit aktörünün Telegram sohbetine aktaracak şekilde modüler bir mekanizma sunuyor. Bunlara ek olarak, sdk-ethers, birkaç benzer işlev sunuyor olsa da, kullanıcıların dikkatini çekmeyecek şekilde tasarlanmış. Ancak, kullanıcılar kodu bilmeden çalıştırdıklarında, mnemonik tohum ifadelerini Telegram botuna gönderiyor.
Mali Tehdit ve Bilanço
Kripto cüzdanları için “anahtar” niteliğindeki mnemonik tohum ifadelerinin çalınması, dolandırıcılara hedef cüzdanlara erişme imkanı sağlıyor. Bu durum, hem bireylerin hem de toplulukların ciddi mali kayıplar yaşamasına yol açıyor. Ayrıca, bu kötü amaçlı paketlerde yer alan Vietnam dili ile yazılmış yorumlar, saldırganların Vietnamca konuşan kişiler olabileceğine işaret ediyor.
Attacklarının arkasındaki motivasyon, geliştiricilerin güven duyduğu platformları istismar etmek olarak görülüyor. Pandya, “Flashbots, doğrulayıcılar, arama yapanlar ve DeFi geliştiricileri tarafından güvenilir bir platform olarak kabul ediliyor. Bu nedenle, resmi bir SDK gibi görünen herhangi bir paket, ticaret botları veya sıcak cüzdanlar yöneten operatörler tarafından benimsenme ihtimali yüksektir,” vurgusunu yaptı. Kötü amaçlı bir özel anahtarın, bu ortamda hemen, geri alınamaz bir fon kaybına yol açabileceği belirtiliyor.
Geliştiricilerin Dikkati
Geliştiricilerin, tanıdık paket adlarına olan güvenlerini istismar eden bu tür saldırılara karşı dikkatli olmaları gerekiyor. Günlük Web3 geliştirme süreçlerini tehlikeye atan bu paketler, aslında geliştiricilerin güvenini sarsmakta ve finansal kayıplara yol açmaktadır. Söz konusu durum, yazılım tedarik zinciri saldırılarının nasıl gerçekleşebileceğini gözler önüne seriyor. Geliştiricilerin şüpheli paketlerden uzak durması ve indirdikleri paketlerin içeriğini dikkatle incelemeleri önem taşıyor.
Paketlerdeki Kötü Amaçlı Kodların İzlenmesi
Geliştiricilerin, bu tür paketlerin kötü amaçlı kod içerip içermediğini anlaması için birkaç önemli ipucu bulunmaktadır. Öncelikle, paketin güncellenme sıklığı göz önünde bulundurulmalıdır. Şüpheli görünen paketlerin, eski veya nadiren güncellenen versiyonları, potansiyel risk taşıyabilir. Ayrıca, kullanıcı yorumları ve geri bildirimleri, paketin güvenilirliği hakkında bilgi verebilir.
Bu tür kötü amaçlı paketlerin yazılım geliştiricileri üzerindeki etkilerini en aza indirmek için, bireysel kullanıcıların da dikkatli olması gerekmektedir. Geliştiricilerin, tanıdık adlarla yanıltma girişimlerine karşı dikkatli olması, bu tür siber saldırılara maruz kalmalarını önleyebilir.
