Güvenlik araştırmacıları, yeni bir saldırı türünün sessizce Ethereum akıllı sözleşmelerini komut ve kontrol (C2) kanalı olarak kullandığını ve kötü amaçlı yazılımı görünüşte zararsız npm JavaScript tuzaklarının içine gizlediğini, özellikle geliştiricilerin bilgisayarlarını hedef aldığını uyarıyor. Bu yöntem, izleme ve kaldırma zorluğunu artırmanın yanı sıra, blok zincirinin değişmezliği ve açıklığı ile savunma tarafının engelleme yapmasını daha da zorlaştırıyor.
Kötü amaçlı npm tuzak nasıl Ethereum üzerinden saldırı talimatları iletilir
ReversingLabs, colortoolsv2 ve mimelib2 adında iki npm tuzağının, Ethereum'daki belirli akıllı sözleşmeleri okuyarak iki aşamalı kötü amaçlı indirici URL'sini elde ettiğini, altyapıyı tuzakta sabit kodlamak yerine yaptığını keşfetti.
Bu tasarım, statik tespit olasılığını azaltır ve kod incelemesinde daha az ipucu bırakır. Bu iki paketin indirilme sayısı son derece düşük olsa da (sırasıyla 7 ve 1 kez), saldırı fikri tedarik zinciri güvenliği için önemli bir tehdit oluşturmaktadır.
GitHub sahteciliği ve sosyal mühendislik ile kurulum rehberi
Araştırmalar, bu kötü amaçlı yazılım paketlerinin tanıtımının, solana-trading-bot-v2 gibi ticaret robotu olarak gizlenmiş bir GitHub deposu ağına dayandığını göstermektedir.
Saldırganlar, sahte yıldızlar, abartılı gönderim geçmişi ve kukla bakımcı hesapları aracılığıyla geliştiricileri kötü amaçlı bağımlılıkları farkında olmadan yüklemeye yönlendiriyor.
Bu yöntem, 2024 yılının sonlarında npm alan adı kapma saldırısıyla birebir örtüşüyor; o dönemde yüzlerce paket, kurulum aşamasında Ethereum sözleşmelerini sorgulayarak temel URL'yi elde edip, Windows, Linux ve macOS için kötü amaçlı yürütülebilir dosyalar indiriyordu.
Blok Zinciri komut kanalı teknik detayları
Güvenlik şirketi Checkmarx ve Phylum, saldırganların kullandığı ana sözleşme adresinin 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b olduğunu ve ethers.js aracılığıyla getString(address) çağrısını kullanarak en son C2 sunucu adresini elde ettiklerini keşfettiler.
Bu C2 düğümleri 45.125.67.172:1337 ve 193.233.201.21:3001'i içerir ve zamanla engellemelerden kaçınmak için değişir.
Akıllı sözleşmeler verilerinin silinemez olması nedeniyle, bu zincir üzerindeki depolama yöntemi geleneksel GitHub Gist veya bulut depolama yöntemlerine göre daha zor bir şekilde kaldırılmaktadır.
Savunma Önerisi: Yaşam Döngüsü Scriptlerini ve Ağ Taleplerini Engelle
Uzmanlar, geliştirme ekiplerinin npm yüklemesi ve CI sürecinde --ignore-scripts parametresini etkinleştirmelerini, kötü amaçlı yaşam döngüsü betiklerinin otomatik olarak çalışmasını önlemelerini ve kilit dosyaları aracılığıyla paket sürümlerini sabitlemelerini önermektedir.
Aynı zamanda, bilinen kötü amaçlı IP'leri ve sözleşme adreslerini güvenlik duvarında veya güvenlik aracında engellemeli ve getString(address) için yapılandırma günlüklerinde şüpheli çağrıları izlemelisiniz.
Node.js resmi güvenlik kılavuzu, bakımcı kimliği ve paket meta verilerinin daha sıkı bir şekilde gözden geçirilmesini önererek tedarik zinciri saldırı riskiyi azaltmayı hedeflemektedir.
Sonuç
Bu olayın etkilediği indirme sayısı çok fazla olmasa da, daha gizli ve savunulması zor bir saldırı modelini ortaya koyuyor - Blok Zinciri'ni kalıcı bir komut kanalı olarak kullanmak, sosyal mühendislik ve açık kaynaklı tedarik zinciri sızmasıyla birleştirmek, geliştiricilere ve işletmelere uzun vadeli bir tehdit oluşturuyor. Gelecekte, zincir üzerindeki kötü amaçlı yazılım ile geleneksel tedarik zinciri saldırılarının birleşimi, siber güvenlik alanında yeni bir norm haline gelebilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Ethereum akıllı sözleşmelerinde tuzaklar gizli! npm tuzak paketi, geliştiricilere yönelik kötü amaçlı yazılım içeriyor.
Güvenlik araştırmacıları, yeni bir saldırı türünün sessizce Ethereum akıllı sözleşmelerini komut ve kontrol (C2) kanalı olarak kullandığını ve kötü amaçlı yazılımı görünüşte zararsız npm JavaScript tuzaklarının içine gizlediğini, özellikle geliştiricilerin bilgisayarlarını hedef aldığını uyarıyor. Bu yöntem, izleme ve kaldırma zorluğunu artırmanın yanı sıra, blok zincirinin değişmezliği ve açıklığı ile savunma tarafının engelleme yapmasını daha da zorlaştırıyor.
Kötü amaçlı npm tuzak nasıl Ethereum üzerinden saldırı talimatları iletilir
ReversingLabs, colortoolsv2 ve mimelib2 adında iki npm tuzağının, Ethereum'daki belirli akıllı sözleşmeleri okuyarak iki aşamalı kötü amaçlı indirici URL'sini elde ettiğini, altyapıyı tuzakta sabit kodlamak yerine yaptığını keşfetti.
Bu tasarım, statik tespit olasılığını azaltır ve kod incelemesinde daha az ipucu bırakır. Bu iki paketin indirilme sayısı son derece düşük olsa da (sırasıyla 7 ve 1 kez), saldırı fikri tedarik zinciri güvenliği için önemli bir tehdit oluşturmaktadır.
GitHub sahteciliği ve sosyal mühendislik ile kurulum rehberi
Araştırmalar, bu kötü amaçlı yazılım paketlerinin tanıtımının, solana-trading-bot-v2 gibi ticaret robotu olarak gizlenmiş bir GitHub deposu ağına dayandığını göstermektedir.
Saldırganlar, sahte yıldızlar, abartılı gönderim geçmişi ve kukla bakımcı hesapları aracılığıyla geliştiricileri kötü amaçlı bağımlılıkları farkında olmadan yüklemeye yönlendiriyor.
Bu yöntem, 2024 yılının sonlarında npm alan adı kapma saldırısıyla birebir örtüşüyor; o dönemde yüzlerce paket, kurulum aşamasında Ethereum sözleşmelerini sorgulayarak temel URL'yi elde edip, Windows, Linux ve macOS için kötü amaçlı yürütülebilir dosyalar indiriyordu.
Blok Zinciri komut kanalı teknik detayları
Güvenlik şirketi Checkmarx ve Phylum, saldırganların kullandığı ana sözleşme adresinin 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b olduğunu ve ethers.js aracılığıyla getString(address) çağrısını kullanarak en son C2 sunucu adresini elde ettiklerini keşfettiler.
Bu C2 düğümleri 45.125.67.172:1337 ve 193.233.201.21:3001'i içerir ve zamanla engellemelerden kaçınmak için değişir.
Akıllı sözleşmeler verilerinin silinemez olması nedeniyle, bu zincir üzerindeki depolama yöntemi geleneksel GitHub Gist veya bulut depolama yöntemlerine göre daha zor bir şekilde kaldırılmaktadır.
Savunma Önerisi: Yaşam Döngüsü Scriptlerini ve Ağ Taleplerini Engelle
Uzmanlar, geliştirme ekiplerinin npm yüklemesi ve CI sürecinde --ignore-scripts parametresini etkinleştirmelerini, kötü amaçlı yaşam döngüsü betiklerinin otomatik olarak çalışmasını önlemelerini ve kilit dosyaları aracılığıyla paket sürümlerini sabitlemelerini önermektedir.
Aynı zamanda, bilinen kötü amaçlı IP'leri ve sözleşme adreslerini güvenlik duvarında veya güvenlik aracında engellemeli ve getString(address) için yapılandırma günlüklerinde şüpheli çağrıları izlemelisiniz.
Node.js resmi güvenlik kılavuzu, bakımcı kimliği ve paket meta verilerinin daha sıkı bir şekilde gözden geçirilmesini önererek tedarik zinciri saldırı riskiyi azaltmayı hedeflemektedir.
Sonuç
Bu olayın etkilediği indirme sayısı çok fazla olmasa da, daha gizli ve savunulması zor bir saldırı modelini ortaya koyuyor - Blok Zinciri'ni kalıcı bir komut kanalı olarak kullanmak, sosyal mühendislik ve açık kaynaklı tedarik zinciri sızmasıyla birleştirmek, geliştiricilere ve işletmelere uzun vadeli bir tehdit oluşturuyor. Gelecekte, zincir üzerindeki kötü amaçlı yazılım ile geleneksel tedarik zinciri saldırılarının birleşimi, siber güvenlik alanında yeni bir norm haline gelebilir.