Web3 derleme süreçlerinde yaygın olarak kullanılan temel bir Node.js kütüphanesi olan node-ipc’nin üç kötü amaçlı sürümünün 14 Mayıs’ta ele geçirildiği doğrulandı; güvenlik şirketi Slowmist, bu pakete güvenen kripto geliştiricilerinin acil kimlik bilgisi hırsızlığı riskiyle karşı karşıya olduğu konusunda uyarıda bulundu.
822.000 İndirme Tehlikede: AWS ve Özel Anahtarları Çaldığı Tespit Edilen Kötü Amaçlı node-ipc Sürümleri
YAZAN
PAYLAŞ
Önemli Noktalar
Geliştiricilerin Gizli Bilgileri Tehlikede
Blockchain güvenlik firması Slowmist, Misteye tehdit istihbarat sistemi aracılığıyla saldırıyı tespit etti ve 9.1.6, 9.2.3 ve 12.0.1 sürümleri olmak üzere üç kötü niyetli sürümü belirledi. Node.js ortamlarında işlemler arası iletişimi (IPC) sağlamak için kullanılan node-ipc paketi, kripto ekosistemindeki merkezi olmayan uygulama (dApp) derleme boru hatlarına, CI/CD sistemlerine ve geliştirici araçlarına entegre edilmiştir.
Paket haftada ortalama 822.000'den fazla indirilmekte olup, bu da saldırı yüzeyini önemli ölçüde artırmaktadır. Üç kötü amaçlı sürümün her biri, paketin CommonJS paketine eklenmiş 80 KB'lık aynı gizlenmiş yükü taşımaktadır. Kod, her require('node-ipc') çağrısında koşulsuz olarak çalıştırılır; bu da, virüslü sürümleri yükleyen veya güncelleyen herhangi bir projenin, kullanıcı etkileşimi gerekmeksizin hırsız yazılımı otomatik olarak çalıştırdığı anlamına gelir.
Kötü Amaçlı Yazılımın Çaldıkları
Gömülü yük, Amazon Web Services (AWS) jetonları, Google Cloud ve Microsoft Azure gizli bilgileri, SSH anahtarları, Kubernetes yapılandırmaları, Github CLI jetonları ve kabuk geçmişi dosyaları dahil olmak üzere 90'dan fazla geliştirici ve bulut kimlik bilgisi kategorisini hedefliyor. Kripto alanıyla ilgili olarak, kötü amaçlı yazılım sıklıkla özel anahtarları, RPC düğümü kimlik bilgilerini ve borsa API gizli bilgilerini depolayan .env dosyalarını hedefliyor. Çalınan veriler, standart ağ izleme araçlarından kaçınmak için dosyaları Domain Name System sorguları üzerinden yönlendiren DNS tünelleme yoluyla dışarı aktarılır.
Stepsecurity'deki araştırmacılar, saldırganınnode-ipc'nin orijinal kod tabanına asla dokunmadığını doğruladı. Bunun yerine, süresi dolmuş e-posta etki alanını yeniden kaydederek, kullanılmayan bir bakımcı hesabını istismar ettiler.
atlantis-software.net etki alanı 10 Ocak 2025 tarihinde süresi doldu ve saldırgan, 7 Mayıs 2026 tarihinde Namecheap üzerinden bu etki alanını yeniden kaydettirdi. Ardından standart bir npm şifre sıfırlama işlemini tetikleyerek, orijinal bakımcının bilgisi olmadan tam yayın erişimi elde ettiler.
Kötü amaçlı sürümler, tespit edilip kaldırılana kadar yaklaşık iki saat boyunca kayıt defterinde kaldı. Bu süre zarfında npm install komutunu çalıştıran veya bağımlılıkları otomatik olarak güncelleyen tüm projeler, potansiyel olarak tehlikeye girmiş olarak değerlendirilmelidir. Güvenlik ekipleri, node-ipc'nin 9.1.6, 9.2.3 veya 12.0.1 sürümleri için kilit dosyalarını derhal denetlemeyi ve son doğrulanmış temiz sürüme geri dönmeyi tavsiye etti.
Npm ekosistemine yönelik tedarik zinciri saldırıları, 2026 yılında kalıcı bir tehdit haline gelmiştir. Kripto projeleri, kimlik bilgilerinin sağlayabileceği doğrudan finansal erişim nedeniyle yüksek değerli hedefler olarak öne çıkmaktadır.
