4 Eylül 2025 06:59
Yakında
Haber

Ethereum Akıllı Kontratları Kullanılarak Gizlenen Zararlı NPM Paketleri: Olası Tehlikelere Karşı Dikkatli Olunmalı

By Coin Otağ

Paylaş

ReversingLabs, Ethereum akıllı sözleşmelerini kullanarak indirici URL’lerini gizleyen ve ikinci aşama kötü amaçlı yazılımları getiren iki zararlı NPM paketi tespit etti. Bu yöntemle saldırganlar, zincir üzerindeki komut merkezlerine ait bağlantıları gizleyerek güvenlik taramalarından kaçabiliyor.

  • Yeni kaçış taktiği: İndirme URL’leri ikinci aşama kötü amaçlı yazılım için akıllı sözleşmelerde barındırılıyor.

  • Saldırganlar colortoolsv2 ve mimelib2 isimli zehirlenmiş NPM paketlerini yayınladı; bu paketler basit indirici işlevi gördü.

  • Güvenlik perspektifi: Araştırmacılar 2024’te kriptoyla bağlantılı 23 repo kampanyası izledi; bu saldırılar blok zinciri trafiğini sosyal mühendislikle harmanlayarak tespiti zorlaştırıyor.

Ethereum akıllı sözleşmelerinde saklanan kötü amaçlı NPM paketleri: Saldırganların zararlı URL’leri zincir üzerinde nasıl gizlediğini öğrenin ve tespit yöntemlerine şimdi göz atın.

NPM paketlerinde Ethereum akıllı sözleşme kötü amaçlı yazılımı nedir?

Ethereum akıllı sözleşme kötü amaçlı yazılımı, NPM paketleri içinde yer alan ve zincirdeki akıllı sözleşmelere sorgu göndererek gizlenmiş komut ve kontrol (C2) URL’lerini veya komutları alan, ardından ikinci aşama zararlı yazılımları indiren koddur. Bu yöntem, kötü amaçlı bağlantıları paket deposu dışında tutarak standart statik taramaların etkisini azaltır.

Zararlı NPM paketleri, yükleri gizlemek için akıllı sözleşmeleri nasıl kullanıyor?

Saldırganlar, Ethereum akıllı sözleşmelerine çağrı yapıp şifrelenmiş URL ya da komutları alan ve ardından ikinci aşama kötü amaçlı yazılımları bu adreslerden indiren minimal indirici paketler yayınlar. Böylece kötü amaçlı altyapı, depo yerine çoğunlukla meşru görünen blockchain işlemleri üzerine kaydırılır ve geleneksel URL taramalarını atlatır.

ReversingLabs araştırmacıları, Ethereum akıllı sözleşmelerini kullanarak kötü amaçlı URL’leri gizleyen ve güvenlik taramalarını atlatan iki NPM paketi keşfetti.

Saldırganlar, tespit edilmemek için Ethereum akıllı sözleşmelerine zararlı komut yerleşimini gömen yeni bir yöntem benimsedi. Güvenlik firması ReversingLabs, ikinci aşama kötü amaçlı yazılımı indiren iki açık kaynak NPM paketinde bu tekniği buldu.

ReversingLabs araştırmacısı Lucija Valentić, bu paketlerin colortoolsv2 ve mimelib2 olduğunu belirtti; her ikisi de Temmuz ayında yayınlandı. Paket kodunda zararlı bağlantılar saklamak yerine, URL’leri Ethereum blok zincirinden, akıllı sözleşmeler aracılığıyla çektiler.

Komut ve kontrol adreslerini zincire taşıyarak, saldırganlar depo içinde görünür iz bırakmayı azalttı ve blockchain trafiğinin meşru olduğu algısından faydalandı. İndirici paketler zincir üzerindeki verileri HTTP(S) URL’lerine dönüştüren basit çağrılar yaptı ve zararli yazılımı buradan indirdi.

NPM packages 'colortoolsv2' and 'mimelib2' on GitHub - ReversingLabs
GitHub’daki ‘colortoolsv2’ ve ‘mimelib2’ NPM paketleri. Kaynak: ReversingLabs (görsel orijinal).

Bu saldırı vektörü neden endişe verici?

Zararlı URL’leri barındırmak ya da referans vermek için akıllı sözleşmelerin kullanılması, blok zinciri trafiğini yazılım tedarik zinciri saldırılarıyla karıştırıyor. Bu tespiti zorlaştırıyor çünkü:

  • Blockchain sorguları normal node trafiği gibi görünüyor ve URL filtrelerini tetiklemeyebilir.
  • Paket manifestosu sadece basit indirici kodu göstererek zararsız izlenimi yaratıyor.
  • GitHub’da sosyal mühendislikle oluşturulan sahte proje geçmişi ve manipüle edilmiş ilgi, zehirlenmiş depo güvenilirliğini artırıyor.

Saldırganlar sahte depoları nasıl meşru gösterdi?

Çok sayıda aldatmacaya başvurdular: sahte commitler, sahte bakımcı hesapları, ilgiyi simüle etmek için aktif görünen hesaplar, profesyonel dokümantasyon ve aktif geliştirmeyi taklit eden forklar. Bu sosyal mühendislik, geliştiricilerin veya kullanıcıların paketleri şüphe duymadan yükleme ihtimalini artırıyor.

Sıkça Sorulan Sorular

Akıllı sözleşmeler kötü amaçlı içeriği gizlemek için kullanılabilir mi?

Evet. Akıllı sözleşmeler, şifrelenmiş metinler ve URL’ler barındırabilir veya referans verebilir; saldırganlar C2 adresleri veya komutları zincire kodlayıp indirici kodla bunları çözerek ikinci aşama kötü amaçlı yazılımları geleneksel sunuculara ihtiyaç duymadan dağıtabilir.

Geliştiriciler, zincir üzerindeki URL’leri kullanan NPM paketlerini nasıl tespit edebilir?

Blockchain RPC çağrısı yapan paketler izlenmeli, çalışma zamanı ağ aktiviteleri beklenmeyen node sorguları açısından analiz edilmeli, ayrıca ağ izolasyonlu sandbox kurulumu uygulanmalı. Sadece statik taramalar zincir üzerindeki referansları kaçırabilir.

Bu saldırılar sadece Ethereum ağına mı özgü?

Hayır. Benzer yöntemler diğer blok zincirlerinde de görüldü; geçmişte Solana odaklı sahte depolar ve Bitcoinlib gibi Python kütüphanelerine yönelik saldırılar raporlandı. Tehdit aktörleri ekosistemler arasında uyum sağlıyor.

Öne Çıkanlar

  • Yeni teknik: Saldırganlar, Ethereum akıllı sözleşmeleriyle C2 URL’lerini gizleyerek standart taramaları atlatıyor.
  • Tedarik zinciri riski: Zararlı NPM paketleri indirici olarak işlev görürken, karmaşık GitHub aldatmacalarıyla desteklendi.
  • Çözüm: Paket doğrulamasını güçlendirin, build süreçlerinde blockchain RPC çağrılarını izleyin ve kurulumları sandbox ortamda yaparak riski azaltın.

Sonuç

Bu olay, blok zinciri altyapısını geleneksel tedarik zinciri dolandırıcılığıyla harmanlayan hızlı gelişen bir tehdidi gösteriyor. Kuruluşlar, blockchain sorgularının çalışma zamanı izlemesini, daha sıkı paket kaynağı kontrollerini ve sandboxlı kurulumları kapsamlı şekilde uygulamalı. ReversingLabs ve diğer güvenlik ekipleri, zincir üstü etkileşim yapan paketlerde artan dikkat çağrısında bulunuyor.

En güncel kripto para haberlerinden haberdar olmak için Twitter hesabımız ve Telegram kanalımız için bildirimleri açmayı unutmayın.

En son kripto para haberleri hakkında bilgilendirilmek için Twitter hesabımız ve Telegram kanalımız için bildirimleri açmayı unutmayın.
Coin Otağ
Coin Otağhttps://coinotag.com/
Hızlı, güvenilir, son dakika bitcoin ve kripto para haberleri! Yatırım tavsiyesi değildir.

Hızlı Gezinti Kutusu

Daha Fazlasını Oku

Son Haberler

Hızlı, güvenilir son dakika bitcoin, kripto para haber ve analizleri.

Sorumluluk Reddi Beyanı: Coinotag.com'da yer alan içerikler teknik bilgi birikimi gerektirir. Hiçbir içerik kesinlikle yatırım tavsiyesi değildir, Coinotag.com herhangi bir kazançtan veya kayıptan sorumlu tutulamaz, yatırım risk taşır ve yatırımlarınız risk altındadır. Kendi araştırmanızı yapmanız önem arz eder.

Kurumsal

TREND

Kategoriler

© COINOTAG 2024