Zararlı Rust Paketleri, 8,424 İndirme ile Solana ve Ethereum Anahtarlarını Çalıyor.

Siber Güvenlikte Yeni Tehdit: Rust Kütüphaneleri

Son dönemde, siber güvenlik araştırmacıları, kötü niyetli Rust kütüphanelerinin, gerçek bir kütüphane olan fast_log‘u taklit ederek, Solana ve Ethereum cüzdan anahtarlarını hedef aldığını ortaya çıkardılar. Bu olay, yazılım tedarik zinciri güvenliği açısından ciddi bir risk oluşturmakta ve yazılımcıları dikkatli olmaya çağırmaktadır.

Kötü Niyetli Kütüphaneler: faster_log ve async_println

Tehdit aktörleri, faster_log ve async_println adlı iki kütüphaneyi, rustguruman ve dumbnbased takma adlarıyla yayına aldı. 25 Mayıs 2025 tarihinde 8424 indirme aldıkları kaydedildi. Socket adlı yazılım tedarik zinciri güvenliği şirketi tarafından yapılan incelemelerde, bu kötü niyetli kütüphanelerin HTTP POST ile belirlenen bir komuta kontrol (C2) noktasına özel anahtarları sızdırdığı belirlendi.

Bilinçli İfşa ve Alınan Önlemler

Kötü niyetli kodun ifşa edilmesinin ardından, crates.io yöneticileri, bu Rust paketlerini kaldırma ve söz konusu hesapları devre dışı bırakma adımları attı. Walter Pearce, “Kötü niyetli kod çalıştırma zamanı sırasında, bu kütüphaneleri kullanan projeler çalıştırılırken veya test edilirken devreye girdi. Yapım aşamasında kötü niyetli kod çalışmadı,” açıklamasında bulundu. fast_log kütüphanesinin kaynak kodu, özellikleri ve belgeleri, adı benzer olan kütüphaneler tarafından kopyalanmış bulunmakta.

Typo-squatting Saldırısı ve Kötü Niyetli Kod

Socket tarafından detaylandırılan bu typosquatting saldırısı, tehdit aktörlerinin, gerçek kütüphanenin kayıt işlevselliğini koruyarak, kötü niyetli kod değişiklikleri eklediğini gösteriyor. Kötü niyetli kütüphaneler, Rust dosyalarını tarayarak, Ethereum ve Solana özel anahtarlarını bulmakta ve bu verileri sızdırmaktadır. Özel anahtarların sızdırıldığı alan adı, Cloudflare Workers üzerinde yayınlanan “mainnet.solana-rpc-pool.workers[.]dev” olarak belirlenmiştir. Bu da Solana’nın gerçek Mainnet beta RPC son noktası olan “api.mainnet-beta.solana[.]com” adresini taklit etmektedir.

Kötü Niyetli Kütüphanelerin Etkisi ve Sektördeki Sonuçlar

Crates.io’ya göre, bu iki kütüphane hiçbir bağımlı alt kütüphaneye sahip değildi ve kullanıcılar başka kütüphaneler yayınlamamıştı. Yayıncı hesaplarının bağlandığı GitHub hesapları, yazının yazıldığı dönemde hâlâ erişilebilir durumdaydı. dumbnbased hesabı 27 Mayıs 2023’te oluşturulmuşken, rustguruman hesabı 25 Mayıs 2025 tarihinde ortaya çıkmış. Soygun, gelişmiş kod tekniklerinin basit bir aldatmaca ile nasıl bir arazi oluşturduğunu göstermektedir.

Geliştiricilerin Dikkat Etmesi Gerekenler

Bu tür siber tehditler, yazılımcılar için ciddi riskler taşımaktadır. Kötü niyetli bir kütüphane, işlevsel bir logger ile karışabilir ve yalnızca ismi tanıdık geldiği için gözden kaçabilir. Böyle bir durum, geliştiricilerin bilgisayarlarına ve sürekli entegrasyon (CI) sistemlerine ulaşabilir. Araştırmacı Kirill Boychenko, “Bu kampanya, minimum kod ve basit aldatmaların tedarik zinciri riskini nasıl oluşturabileceğini gösteriyor,” dedi.

Kullanıcıların Önlemleri Artırması Gerekiyor

Yazılımcıların, kullandıkları kütüphaneleri dikkatli bir şekilde incelemeleri ve yalnızca güvenilir kaynaklardan indirme yapmaları gerekmektedir. Ayrıca, kod inceleme süreçlerinde daha dikkatli davranmak ve şüpheli görünen kütüphaneleri kullanmaktan kaçınmak büyük önem taşımaktadır. Siber güvenlik alanındaki bu tür tehditlere karşı dikkatli olunmadığında, büyük maddi kayıplar ve veri hırsızlıkları kaçınılmaz olabilir.

Kısacası, bu gelişmeler, siber güvenlik yıldızı olarak karşımıza çıkan Rust ekosisteminde, kullanıcılara ve geliştiricilere önemli dersler sunmaktadır. Kötü niyetli yazılımların, kullanıcılara nasıl zarar verebileceği konusunda artan farkındalık, sadece yazılım geliştirme sürecinde değil, işletmelerde de daha sağlam düzenlemelere yol açacaktır.

Güncel Siber Güvenlik Haberleri – 1