Solana kullanıcıları özel anahtar hırsızlığı olayıyla karşı karşıya: Kötü niyetli NPM paketleri saldırı aracı haline geldi

2025 yılının Temmuz ayının başında, Solana kullanıcılarına yönelik bir özel anahtar çalma olayı güvenlik uzmanlarının dikkatini çekti. Bir kullanıcı, GitHub'daki bir açık kaynak projesini kullandıktan sonra, kripto varlıklarının çalındığını fark etti. Derinlemesine bir soruşturmanın ardından, güvenlik ekibi, sahte açık kaynak projeleri, kötü niyetli NPM paketleri ve birden fazla GitHub hesabının işbirliğini içeren özenle tasarlanmış bir saldırı zincirini ortaya çıkardı.

Olayın nedeni, solana-pumpfun-bot adlı bir GitHub projesidir. Bu proje yüzeyde oldukça popüler görünüyor ve yüksek sayıda Yıldız ve Fork'a sahip. Ancak, projeye ait kod gönderimlerinin kısa bir süre içinde yoğunlaştığı ve sürekli güncelleme özelliklerinin eksik olduğu dikkatlice incelendiğinde, bu durum güvenlik uzmanlarının dikkatini çekmiştir.

Daha ileri analiz, projenin crypto-layout-utils adında şüpheli bir üçüncü taraf pakete bağımlı olduğunu ortaya koydu. Bu paket NPM resmi olarak kaldırıldı ve belirtilen sürüm numarası NPM'nin tarihçesinde bulunmamaktadır. Saldırganlar, package-lock.json dosyasını değiştirerek bağımlılık paketinin indirme bağlantısını kendi kontrol ettikleri bir GitHub deposuna yönlendirdi.

Bu kötü niyetli NPM paketi yüksek derecede karmaşıklaştırılmıştır ve analiz edilmesini zorlaştırmaktadır. Karmaşıklaştırma çözüldükten sonra, güvenlik ekibi kötü niyetli doğasını doğruladı: Bu paket, kullanıcı bilgisayarındaki dosyaları tarar, cüzdan veya Özel Anahtar ile ilgili içerikleri arar ve bulunan hassas bilgileri saldırganın kontrolündeki sunucuya yükler.

Saldırganların yöntemleri oldukça kurnaz. Bir grup GitHub hesabını kontrol ettikleri iddia ediliyor; bu hesaplar, kötü niyetli projeleri Fork'layıp dağıtmak için kullanılıyor ve aynı zamanda projelerin Fork ve Star sayılarını artırarak daha fazla kullanıcı çekmeye çalışıyorlar. Bunun yanı sıra, güvenlik ekibi bs58-encrypt-utils adında başka bir kötü amaçlı paket keşfetti ve saldırı faaliyetlerinin 2025'in Haziran ortalarında başlamış olabileceği tahmin ediliyor.

Blockchain analiz araçları sayesinde güvenlik ekibi, çalınan fonların bir kısmının belirli bir borsa platformuna aktarıldığını tespit etti.

Bu olay, açık kaynak topluluğunun karşılaştığı güvenlik zorluklarını vurgulamaktadır. Saldırganlar, meşru projeleri taklit ederek, sosyal mühendislik ve teknik yöntemleri birleştirerek, kullanıcıları kötü niyetli bağımlılıkları içeren kodu çalıştırmaya ikna etmeyi başardılar, bu da Özel Anahtar sızıntısına ve varlık kaybına yol açtı.

Benzer riskleri önlemek için, geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı son derece dikkatli olmaları önerilir, özellikle cüzdan veya Özel Anahtar işlemleriyle ilgili projelerde. Hata ayıklama gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmak en iyisidir. Aynı zamanda, açık kaynak topluluğunun projelerin denetimini ve gözetimini artırması, kullanıcıların güvenlik bilincini geliştirmesi ve daha güvenli bir geliştirme ekosistemini ortaklaşa koruması gerekmektedir.