NPM tedarik zinciri saldırısı, yaygın kullanılan JavaScript kütüphanelerine (chalk, strip-ansi, color-convert) kripto-clipper (adres değiştiren kötü amaçlı yazılım) enjekte ederek cüzdan adreslerini değiştirmeyi ve fonları yönlendirmeyi hedefledi. Güvenlik uzmanları saldırının Ethereum ve Solana cüzdanlarını hedef aldığını ve şimdiye kadar çalınan miktarın 50 doların altında olduğunu bildiriyor.
-
NPM paketlerinde tedarik zinciri ihlali ile kripto-clipper yayıldı
-
Saldırı, Ethereum ve Solana cüzdanlarını bağımlılıklardaki adres değiştiren zararlı yazılımla hedef aldı
-
Zararlı adres 0xFc4a48 olarak tespit edildi; araştırmacılar şimdiye kadar 50 doların altında kayıp olduğunu bildiriyor
NPM tedarik zinciri saldırısı, JavaScript kütüphanelerine kripto-clipper enjekte etti; cüzdanlarınızı nasıl kontrol edeceğinizi ve fonlarınızı nasıl koruyacağınızı öğrenin — detaylı analiz ve güvenlik adımlarını okuyun.
NPM tedarik zinciri saldırısı nedir ve nasıl kripto cüzdanlarını hedef aldı?
NPM tedarik zinciri saldırısı, bir geliştiricinin NPM hesabının ele geçirilmesiyle gerçekleşti ve saldırganların popüler JavaScript kütüphanelerine kripto-clipper yerleştirmesine olanak sağladı. Zararlı yazılım, Ethereum ve Solana kullanıcılarının işlemleri sırasında cüzdan adreslerini gizlice değiştiriyor; araştırmacılar şimdiye kadar 50 doların altında hırsızlık olduğunu bildiriyor.
Saldırganlar kripto-clipper’ı JavaScript kütüphaneleri yoluyla nasıl dağıttı?
Saldırganlar, yaygın kullanılan bir NPM geliştirici hesabına erişim elde etti ve bağımlılık ağacının derinliklerinde yer alan paketleri değiştirdi. Şüpheli paketler arasında chalk, strip-ansi ve color-convert bulunuyor; bu paketler yüz milyonlarca hatta milyarlarca kez indirildiği için pek çok proje ve geliştirici bilgisayarına bulaşma riski oluştu.
Hangi cüzdanlar ve adresler hedef alındı, ne kadar kayıp yaşandı?
Security Alliance, saldırganların özellikle Ethereum ve Solana işlemlerini hedeflediğini belirtiyor. Blockchain izleme verileri, zararlı olduğu düşünülen adresi 0xFc4a48 olarak gösteriyor. Başlangıçta toplam kayıp oldukça düşük; 5 cent ETH ve yaklaşık 20 dolar değerinde memecoin olarak rapor edildi, toplamda raporlama anında 50 doların altında kaldı.
| Varlık | Rapor Edilen Miktar |
|---|---|
| Ether (ETH) | 0,05 $ (ilk rapor) |
| Memecoinler (BRETT, ANDY, DORK, VISTA, GONDOLA) | ~20 $ |
| Toplam rapor edilen |
chalk gibi bağımlılık paketleri neden yüksek risk taşır?
Küçük yardımcı paketler pek çok projenin bağımlılık ağaçlarının derinliklerinde yer alır. Geliştiriciler bu modülleri doğrudan yüklemez, ancak otomatik olarak projelerine dahil ederler. Güvenilen paketlerin ele geçirilmesi durumunda milyonlarca geliştirici ortamı etkilenir. Bu paketlerin yüksek indirilme sayıları nedeniyle bir tek maintainer hesabının ele geçirilmesi büyük bir etki yaratır.
Geliştiriciler ve kullanıcılar riskleri azaltmak için şimdi ne yapmalı?
Uzmanlar, son yüklenen paketlerin acilen denetlenmesini ve bağımlılık bütünlüğü kontrollerinin yapılmasını öneriyor. Ledger’in CTO’su Charles Guillemet, zincir üzeri işlemler onaylanırken ekstra dikkatli olunması gerektiğini belirtiyor. Pratik önlemler; cüzdan adreslerinin elle doğrulanması, yüksek değerli transferlerde donanım cüzdanı kullanımı ve bilgisayarlarda şüpheli işlemler için tarama yapılmasıdır.
Sıkça Sorulan Sorular
Projemin zarar görmüş bir paketi kullanıp kullanmadığını nasıl kontrol ederim?
package-lock.json veya yarn.lock dosyalarında chalk, strip-ansi veya color-convert referanslarını kontrol edin, yakın tarihli paket güncellemelerini inceleyin ve checksum’ları temiz bilinen sürümlerle karşılaştırın. Çevrimdışı doğrulama veya izole ortamda build tekrarları önerilir.
Kripto olmayan projeler de bu kripto-clipper’dan etkilenir mi?
Evet. Clipper, sistem seviyesinde pano veya işlem verilerini değiştirdiği için, pano tabanlı ya da enjekte edilen adres işlemleri yapan her türlü geliştirici ya da kullanıcı ortamı risk altındadır; projenin kripto ile ilgili olup olmaması fark etmez.
Donanım cüzdanı kullanıyorsam kriptom güvende midir?
Donanım cüzdanları riski büyük ölçüde azaltır çünkü işlem sonuçlarını cihaz üzerinde onaylama zorunluluğu vardır. Yine de kullanıcıların adresleri cüzdan ekranında doğrulaması ve cihaz yazılımını güncel tutması önerilir.
Özetle
- Geniş çaplı etki: Küçük yardımcı paketler ele geçirildiğinde milyonlarca kullanıcı etkilenebilir.
- Düşük rapor edilen kayıp, yüksek potansiyel risk: Şu ana kadar 50 doların altında kayıp bildirildi ancak potansiyel etki geniş.
- Hemen harekete geçin: Bağımlılıkları denetleyin, checksum doğrulayın, donanım cüzdanı kullanın ve cihazları şüpheli yazılımlar için tarayın.
Sonuç
Bu NPM tedarik zinciri saldırısı, tek bir maintainer hesabının ele geçirilmesiyle kripto-clipper’ın JavaScript ekosistemine nasıl yayıldığını gösteriyor. Security Alliance ve blockchain izleyicileri zararlı adres olarak 0xFc4a48’i işaret etti ve şu ana kadar 50 doların altında zarar olduğunu raporladı. Geliştiriciler ve kullanıcılar yukarıdaki önlemleri mutlaka uygulamalı. Yayın tarihi: COINOTAG, 2025-09-08. Güncelleme: 2025-09-08.
