Açıkların Teknik Detayları
Ethereum geliştiricileri, son zamanlarda npm platformunda yayılan kötü amaçlı paketlerle hedef alınıyor. Bu paketler, Hardhat eklentileri ve Nomic Foundation’ı taklit ederek, geliştiricilerden özel anahtarlar ve diğer hassas verileri çalmayı amaçlıyor. Hardhat, Ethereum geliştiricileri için kritik bir araç olup, akıllı sözleşmeler ve dApp’lerin geliştirilmesini, test edilmesini ve uygulanmasını kolaylaştırır. Nomic Foundation tarafından desteklenen bu araç, Ethereum geliştirme ortamının temel bileşenlerinden biridir. Ancak, tedarik zinciri saldırısı, bu kritik platformları hedef alarak, geliştiricilerin güvenini kötüye kullanmaktadır.
Saldırganlar, açık kaynak eklentilerine duyulan güveni kullanarak, kötü amaçlı npm paketleri aracılığıyla Hardhat ve Nomic Foundation platformlarına sızmış ve özel anahtarlar, mnemonik ifadeler ve yapılandırma bilgileri gibi hassas verileri ele geçirmiştir. Socket Research Team, Cyber Security News’e yaptığı açıklamada, saldırının bu platformlara ciddi bir tehdit oluşturduğunu bildirmiştir.
Ethereum Geliştiricilerini Hedefleyen Sahte Hardhat Paketleri
Bu saldırıda kullanılan kötü amaçlı npm paketleri, aslında güvenilir Hardhat eklentileri gibi görünüyor ve Nomic Foundation, Hardhat ve ilgili eklentileri hedef alıyor. Bu saldırı sonucunda, üç ana yazar tarafından yazılmış toplam 20 kötü amaçlı paket tespit edilmiştir. En popüler paketlerden biri olan @nomicsfoundation/sdk-test, 1.092 kez indirilmiştir. Diğer bazı paketler, örneğin @nomisfoundation/hardhat-configure ve @monicfoundation/hardhat-config, Hardhat eklentileri gibi görünüp kötü amaçlı kod içeriyor.
Araştırmacılar, kötü amaçlı paketlerin, gerçek Hardhat eklentilerinin isimlerini taklit ederek, kullanıcılara doğruymuş gibi gözükmelerini sağladıklarını gözlemlemiştir. Gerçek ve kötü amaçlı yazılımlar, aynı zamanda faydalı Hardhat uzantıları sunduklarını iddia etmektedirler. Ancak, bu paketler, Ethereum akıllı sözleşmesi testi, gaz optimizasyonu ve dağıtım gibi kritik geliştirme adımlarını hedef alarak geliştiricilerin güvenini suistimal etmektedir.
Verilerin Çalınması
Gerçek Hardhat eklentileri, Hardhat Runtime Environment (HRE) kullanarak yasal amaçlarla sözleşme dağıtımı veya test işlemleri yaparken, kötü amaçlı paketler, hreInit() veya hreConfig() gibi işlevleri suistimal ederek hassas verileri dışarıya sızdırmaktadır. Hardhat ortamından, saldırganlar özel anahtarlar ve mnemonikler gibi kritik verileri ele geçirebilirler. Bu veriler, önceden belirlenmiş bir AES anahtarı ile şifrelenerek, saldırganların kontrolündeki uç noktalara gönderilmektedir.
Kötü amaçlı paketler, Hardhat çalışma zamanı ortamını kullanarak özel anahtarlar, mnemonikler ve yapılandırma dosyaları gibi hassas bilgilere ulaşabilmektedir. Ethereum adresleri ve sabit anahtarlar kullanarak veriler verimli bir şekilde sızdırılmaktadır.
Ethereum Akıllı Sözleşmeleri ve C2 Sunucularına Erişim
Saldırganlar, Ethereum akıllı sözleşmelerini kullanarak C2 (Command and Control) sunucu adreslerini dinamik olarak almak için blockchain’in merkeziyetsiz ve değiştirilemez özelliklerinden faydalanmaktadır. Bu durum, C2 altyapısının engellenmesini zorlaştırmaktadır. Daha önceki kampanyalarla bağlantılı olarak, belirli Ethereum cüzdan adresleri tespit edilmiştir. Öne çıkan cüzdan adreslerinden biri olan 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, Ethereum akıllı sözleşmeleri üzerinden C2 sunucu bilgilerini almak için kullanılmıştır.
Çözüm ve Öneriler
Bu tür saldırılardan korunmak için geliştiricilerin, paketleri dikkatlice seçmeleri kritik önem taşır. Ayrıca, geliştirici ve organizasyonların geliştirme ortamlarını korumak için daha sıkı denetim ve izleme prosedürleri uygulamaları gerekmektedir. Kötü amaçlı paketlerin istemeden yüklenmesini önlemek için, GitHub için ücretsiz bir Socket uygulaması kurulabilir. Socket’in yapay zeka destekli tehdit algılama sistemi, bu tür saldırıları ve tedarik zinciri riskinin 70’ten fazla göstergesini, geliştirme ortamınıza girmeden tespit edebilir.
Sonuç ve Öneriler
Bu saldırılar, açık kaynak ekosistemine olan güveni sarsmakta ve Ethereum ana ağında kötü amaçlı sözleşmelerin dağıtılmasına yol açabilmektedir. Bu tür tehditlere karşı korunmak için geliştirme ortamlarının daha sıkı denetlenmesi, paket doğrulama ve bağımlılık yönetimi prosedürlerinin güçlendirilmesi gerekmektedir. Geliştiricilerin bu tür saldırılardan korunmak için Socket gibi tehdit algılama araçlarını kullanması tavsiye edilmektedir.
IOC (Indicators of Compromise) – Tehdit Göstergeleri
- Kötü Amaçlı URL’ler:
- hxxps://projects[.]metabest[.]tech/api
- hxxps://cryptoshiny[.]com/api
- hxxps://cryptoshiny[.]com/api/projects/setData
- hxxps://cryptoshiny[.]com/api/projects/getAddress
- hxxps://projects[.]cryptosnowprince[.]com/api
- hxxp://t0uxistfm4fo6bg9pjfpdqb1ssyjmfa4[.]oastify[.]com
- hxxps://pastebin[.]com/api/api_post[.]php
- Sabit Anahtarlar:
- AES Anahtarı: 8GAq/DfzWy74ESgzmSYPXMSghwPjOY3oa7HZ6u+FSCs=:PMnracLLHhsVjTj+dwHOQQ==
- Pastebin Geliştirici Anahtarı: zCviLVtg0oHC2aT_xQ_7VU96pzxM35ju
- Pastebin Kullanıcı Anahtarı: d8186f40984375851b912c75b5bd24e7
- Ethereum Adresleri:
- 0xC02aaA39b223FE8D0A0e5C4F27eAD9083C756Cc2
- 0xbb4CdB9CBd36B01bD1cBaEBF2De08d9173bc095c
- 0xae13d989daC2f0dEbFf460aC112a837C89BAa7cd
- 0xE0B7927c4aF23765Cb51314A0E0521A9645F0E2A
- 0x0d500B1d8E8eF31E21C99d1Db9A6444d3ADf1270
#CyberSecurity #NetworkSecurity #Ethereum #SupplyChainAttack #npm #Hardhat #OpenSource #MaliciousPackages #PrivateKeyTheft
About the Author
