'Code Red'den 'Nothingburger'a: NPM İstismarı Aşırı mı Abartıldı?

Uyandırma Çağrısı İçeren Bir ‘Önemsizlik’

Büyük ölçekli bir JavaScript Node Package Manager (NPM) tedarik zinciri saldırısına dair ilk raporlar, kripto topluluğunda kısa ama yoğun bir panik dönemi tetikledi. Birkaç saat boyunca, felaket senaryolarını dillendirenler uyarıya tutundu ve kullanıcı fonlarının yaygın bir şekilde çalınacağı konusunda spekülasyonlar yaptı. O dönemde, Ledger CTO’su Charles Guillemet, yazılım cüzdan kullanıcılarına zincir üzerindeki işlemleri durdurmalarını ve donanım cüzdan kullanıcılarına her işlemi iki kez kontrol etmelerini tavsiye etti.

Ancak saatler geçtikçe, saldırının büyüklüğü daha belirgin hale geldi. Kötü amaçlı kodun oldukça hedefli olduğu ve etkilenen uygulama sayısının sınırlı olduğu ortaya çıktı. Uniswap, Metamask, OKX Wallet ve Aave gibi önemli projeler, etkilendiklerini doğrulayan açıklamalar yayınladılar.

Yaygın bir zarar olmaması, başlangıçtaki paniği hızla bir tartışmaya dönüştürdü. Rahatlayan bazı kripto kullanıcıları, ilk uyarının ciddiyetini sorgulamaya başladılar ve bazıları şimdi bunu alarmist ve hatta yazılım cüzdanlarına dolaylı bir saldırı olarak görmeye başladı. Bu bakış açısı, uyarının, gerçek bir güvenlik açığını vurgulasa da, donanım cüzdanlarının kullanımını teşvik etmek amacıyla abartılmış olabileceğini ileri sürüyor.

Çalınan kripto bakımından zarar gören bazıları bu istismara “önemsizlik” derken, bazı blok zinciri güvenlik uzmanları olayın tüm yazılım geliştiricilerine bir uyarı mesajı olması gerektiği konusunda ısrarcı. Bu uzmanlar, olayın donanım cüzdanlarının güvenlik modelini doğruladığını kabul ediyorlar fakat bu tür cüzdanları kullanan kullanıcıların da benzer bir saldırıda bazı koşullar altında fonlarını kaybedebileceğine dair uyarıda bulunuyorlar.

Augusto Teixeira, Cartesi’nin kurucu ortaklarından biri, bu noktayı şöyle açıkladı: “Hatta donanım cüzdanı kullanıcıları da bu tür saldırılardan etkilenebilir. Örneğin, çeşitli insanlar, ekranında veriyi doğrulamadan, Metamask yardımıyla donanım cüzdanlarını kullanıyorlar. İşlemler daha karmaşık hale geldikçe ve insanlar bunları körü körüne imzaladıkça bu daha yaygın hale geliyor. Doğrulamak zor oluyor.”

Teixeira’ya göre, donanım cüzdanları, kullanıcıların cihazın ekranından neyi imzaladıklarını daha iyi anlamalarına olanak tanıyacak adres kitapları veya JSON ABI’lerle entegrasyon gibi önemli özelliklerden yoksun.

Sektör Genelinde Etkiler ve En İyi Uygulamalar

NPM olayı geliştiricilerin, paket yöneticilerinin ve kuruluşların güvenlik uygulamalarını sorgulamalarına yol açtı. Kripto endüstrisindeki bazıları, en iyi uygulamalara – eş kontrolü gibi ve geliştiricilerin onay olmadan koda üretim için itmesine izin vermemek gibi – takip etmenin bu tür bir saldırının olasılığını en aza indirebileceğine inanıyor. Ayrıca, geliştiricilerin sistemleri güncel tutmaları ve şifreleri tekrar kullanmaktan kaçınmaları gerektiğini savunuyorlar.

COTI’nin kurucu ortağı ve CEO’su Shahaf Bar-Geffen, NPM gibi paket yöneticilerinin, bir saldırganın girişi zorlaştırması gerektiğine inanıyor. OpenJS Foundation gibi kurumlar tarafından denetlenen bir “Kritik Paket Güvenlik Çerçevesi”nin “güçlü kimlik doğrulama (2FA, kapsamlı API anahtarları), tekrarlanabilir derlemeler ve yüksek indirme eşiklerini aşan paketler için yıllık üçüncü taraf denetimleri” zorunlu kılabileceğini savunuyor. Bar-Geffen, bu kademeli doğrulama modelinin en iyi uygulamaları teşvik ederken, kritik altyapıyı korumaya yardımcı olacağını düşünüyor.

Kötü niyetli faaliyetleri ortaya çıkarmak için sadece bir kişiye (çıkar çatışmaları olabilecek) bağımlı olma gereğini önlemek için, Carlo Fragni, Cartesi’de Çözüm Mimarı, projelerin araştırmacılar tarafından kullanılan kanallara dikkat etmelerini teşvik ediyor. Ayrıca, “bağımlılıkların analiz araçlarını kullanmayı ve her güncellemeyle yeni bir sürümü çıkarıldığında her bir bağımlılığı titizlikle incelemeyi” öneriyor.