8 Eylül'de NPM ekosisteminde, yaygın olarak kullanılan birkaç JavaScript kütüphanesini etkileyen önemli bir yazılım tedarik zinciri saldırısı keşfedildi. Olay ilk olarak Ledger'ın Teknoloji Direktörü Charles Guillemet'in, güvenilir bir geliştiricinin Node Package Manager hesabının ele geçirildiğine dair bir uyarı yayınlamasıyla kamuoyunun dikkatini çekti. İlk değerlendirmeler, bir milyardan fazla indirmenin gizli kripto para çalma amaçlı kötü amaçlı yazılımlara maruz kaldığını öne sürdü. Ancak sonraki araştırmalar, ele geçirilen paketlerin toplu olarak haftada 2,6 milyardan fazla indirme temsil ettiğini ortaya çıkardı.
Tedarik Zinciri Saldırısı 2 Milyarı Aştı
Tedarik Zinciri Saldırısı 2 Milyarı Aştı
Saldırı, "qix" olarak bilinen ve birkaç popüler JavaScript kütüphanesini sürdüren bir geliştiricinin hesabına odaklandı. Bunlar arasında hem sunucu tarafı hem de ön uç ortamlarında sayısız projede kullanılan chalk, strip-ansi, color-convert ve debug bulunuyor. Saldırganlar, sahte bir destek e-postası aracılığıyla hesaba erişim sağladı ve yaklaşık 18 pakete kötü amaçlı güncellemeler gönderdi. Otomatik bağımlılık kurulumları nedeniyle, kötü amaçlı yazılım ihlalden saatler içinde hızla yayıldı.
Guillemet açıkladı, kötü amaçlı kodun işlemler sırasında kripto para cüzdan adreslerini sessizce değiştirmek üzere tasarlandığını belirtti. Bu durum, yazılım cüzdanlarına güvenen kullanıcıları, alıcı adresinin değiştirildiğini fark etmeden işlemleri onaylamaları halinde fon kaybetme riskiyle karşı karşıya bıraktı.
Malware Crypto Clipper ve MetaMask
Güvenlik araştırmacıları, kötü amaçlı yazılımı bir tür "kripto kesici" olarak tanımladı. Bir işlemin farklı aşamalarında cüzdan adreslerini değiştirerek işlev görür. Cüzdan algılanmadığı durumlarda, kötü amaçlı yazılım, tarayıcı fonksiyonlarına fetch ve XMLHttpRequest gibi fonksiyonlara bağlanarak merkeziyetsiz uygulamalardaki giden verileri değiştirir. Bu, uygulama verileri içindeki adresleri taramasına ve değiştirmesine olanak tanır.
MetaMask gibi bir cüzdan uzantısı algılanırsa, kötü amaçlı yazılım işlemi imzalanmadan önce ele geçirerek daha doğrudan hale gelir. Bellekteki cüzdan adresini değiştirir, böylece kullanıcı işlemi incelediğinde, sahte adres zaten yerindedir. Kötü amaçlı yazılım, orijinaline benzeyen adresler üreten Levenshtein algoritmasına dayanır. Bu benzerlik, kullanıcıların değişikliği tespit etme olasılığını azaltır.
Tedarik Zinciri Saldırısı 2 Milyarı Aştı
Saldırının İlk Belirtileri
Geliştiriciler, derleme sistemlerinin beklenmedik bir hata mesajı döndürmesiyle saldırının ilk belirtileriyle karşılaştı. error-ex adlı bir bağımlılığın daha fazla incelenmesi, Ethereum cüzdanlarını hedef aldığını gösteren şüpheli bir checkethereumw fonksiyonu içeren gizlenmiş kod ortaya çıkardı. Analistler daha sonra kötü amaçlı yazılımın Bitcoin, Ethereum, Solana, Tron, Litecoin ve Bitcoin Cash dahil olmak üzere birçok blockchain'deki cüzdan adreslerine referanslar içerdiğini doğruladı.
Etkilenen paketler arasında JavaScript ekosisteminde en yaygın kullanılanlardan bazıları vardı. Yalnızca Chalk haftada 300 milyondan fazla, debug 350 milyondan fazla ve strip-ansi 260 milyondan fazla indirme alıyor. Toplamda, ele geçirilen kütüphaneler her hafta toplu olarak 2,6 milyardan fazla indiriliyor, bu da geliştirici topluluğu üzerindeki etkinin derinliğini vurguluyor.
Donanım vs Yazılım Cüzdanları
Etkilenen kütüphanelerin çoğu doğrudan kripto para projeleriyle bağlantılı olmasa da, bağımlılık zincirlerine entegrasyonları, ilgisiz uygulamaların bile maruz kalmış olabileceği anlamına geliyor. Kripto para cüzdanları ve merkeziyetsiz uygulamalarla etkileşimde bulunan projeler en yüksek risk seviyesinde kabul ediliyor.
Guillemet'e göre, net imzalama özelliklerine sahip donanım cüzdan kullanıcıları güvende kalıyor çünkü bu tür cihazlar onaydan önce her işlemi doğrulmalarına olanak tanıyor. Buna karşılık, yazılım cüzdanı kullanıcıları daha büyük bir maruziyetle karşı karşıya kalıyor ve bağımlılıklar tamamen incelenip güvence altına alınana kadar aşırı dikkatli olmaları tavsiye ediliyor.
Saldırganı Bulmak ve Çalınan Fonlar
Saldırganın kripto para adresleri belirlendi ve halka açık blockchain'lerin şeffaflığı sayesinde aktif olarak izleniyor. Operasyonla bağlantılı birincil bir Ethereum adresi 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 ve birkaç başka yedek adres bulunuyor. Raporlama anında, çalınan fonlar henüz hareket ettirilmemişti. Bu izleme, devam eden analiz için bir fırsat sunuyor, ancak çalınan varlıkların tam kapsamı belirsizliğini koruyor.
Tedarik Zinciri Saldırısı 2 Milyarı Aştı
JavaScript ve Topluluk Rolü
JavaScript ve web3 toplulukları, olayı kontrol altına almak için hızla harekete geçti. Ele geçirilen paketlerin kötü amaçlı sürümleri büyük ölçüde kayıt defterinden kaldırıldı, ancak lockfile'larında hala eski sürümlere güvenen projeler için riskler devam ediyor. Geliştiriciler, bağımlılıklarını denetlemeye, güvenli sürümleri kilitlemeye ve daha fazla maruziyeti önlemek için temiz derlemeler yeniden yüklemeye teşvik ediliyor.
Güvenlik uzmanları ayrıca geliştiricilerin kimlik bilgilerini değiştirmesini, NPM ve GitHub gibi hesaplarda iki faktörlü kimlik doğrulamayı zorunlu kılmasını ve katı sürüm kontrolünü sürdürmek için npm ci gibi deterministik kurulum yöntemleri kullanmasını öneriyor. Ek olarak, kullanıcılara, özellikle yazılım cüzdanlarına güveniyorlarsa, tüm kripto para işlemlerini dikkatlice doğrulamaları tavsiye ediliyor.
Son Düşünceler
Bu olay, NPM ekosistemini etkileyen en kapsamlı ihlallerden biri olarak tanımlandı. Topluluk tepkisi nispeten hızlı olsa da, saldırı modern yazılım tedarik zincirlerinin kırılganlığını ve açık kaynak bileşenlere yaygın güvenin yarattığı riskleri vurguluyor.
Guillemet'in vurguladığı gibi, her işlemi imzalamadan önce gözden geçirmek hala çok önemli. İhlal, uygulama altyapısının derinliklerine gömülü küçük kütüphanelerin bile ele geçirildiğinde önemli saldırı vektörleri haline gelebileceğinin bir hatırlatıcısı olarak hizmet ediyor. Geliştiriciler ve kullanıcılar için, web3 ve yazılım geliştirme ekosistemlerinde güvenliği sürdürmenin kritik bir parçası haline gelen sürekli tetikte olmak artık bir gereklilik.
