Microsoft Threat Intelligence, [email protected] ve [email protected] adlı iki npm paketinin, Hugging Face depolarını veri sızdırma altyapısı olarak kötüye kullandığını açıkladı. Şirket, bu paketlerin uzaktan erişim sağlayan bir truva atı (RAT) yüklediğini ve bunun klavye tuş vuruşlarını, ekran görüntülerini ve kripto cüzdan bilgilerini toplayabildiğini belirtti.
Npm, JavaScript geliştiricilerinin uygulama ve web araçları oluşturmak için kullandığı halka açık bir yazılım kaydı olarak öne çıkıyor. Bir geliştirici zararlı bir paketi yüklediğinde, kötü amaçlı yazılım cihazda sessizce çalışabiliyor ve hassas dosyaları, şifreleri veya cüzdan verilerini izleyebiliyor.
Hugging Face Yönlendirmesi Tespit Riskini Azaltıyor
Bu saldırı kampanyası, saldırganların yapay zeka ve makine öğrenimi projeleri için güvenilir bir platform olan Hugging Face’i, çalınan verileri taşımak için kullanmasıyla dikkat çekiyor. Bu yöntem, trafiğin doğrudan bilinmeyen bir suç sunucusuna yönlendirilmesine kıyasla daha az şüpheli görünmesini sağlıyor.
Kripto kullanıcıları için bu durum doğrudan bir güvenlik riski oluşturuyor. Geliştirici bilgisayarlarında tarayıcı cüzdanları, özel anahtarlar, seed phrase dosyaları, borsa API anahtarları, GitHub token’ları ve bulut giriş bilgileri saklanabiliyor. Saldırganlar bu bilgilere ulaştığında, cüzdanları, kod depolarını ve alım-satım sistemlerini hedef alabiliyor.
Geliştiricilere Yönelik Daha Geniş Saldırılar
crypto.news tarafından aktarılan ilgili haberlerde, yazılım tedarik zinciri saldırılarının kripto sektöründe hâlâ önemli bir tehdit olduğu vurgulanıyor. 25 Mayıs tarihli bir raporda, TrapDoor adlı kötü amaçlı yazılım kampanyasının npm, PyPI ve Rust ekosistemlerinde 34’ten fazla zararlı paketle yayıldığı belirtildi.
Bu kampanya, sahte geliştirici araçları üzerinden cüzdan verilerini, API anahtarlarını, bulut kimlik bilgilerini ve SSH erişimini çalarak kripto ve yapay zeka geliştiricilerini hedef aldı. Ayrıca, saldırganların artık yalnızca son kullanıcıları değil, kripto uygulamalarını geliştiren kişi ve sistemleri de hedef aldığını gösterdi.
Mart ayında crypto.news, Slow Fog’un geliştiricileri zararlı Axios sürümleri konusunda uyardığını bildirmişti. Zehirli sürümler, plain-crypto-js kötü amaçlı yazılımını sisteme çekerek kripto geliştiricilerini zincirler arası RAT’lara ve çalınan kimlik bilgilerine karşı savunmasız bırakmıştı.
Kripto Madenciliği Saldırılarına İlişkin Yeni Microsoft Uyarısı
Microsoft’un son uyarısı, şirketin güvenlik ekiplerinden gelen başka bir kötü amaçlı yazılım raporunun ardından geldi. 26 Mayıs’ta Microsoft, saldırganların zehirli arama sonuçları ve bazı yapay zeka sohbet botu etkileşimleriyle sahte PC yardımcı programı indirmeleri yaydığını ve bu yolla GPU madencilik yazılımı yüklediğini açıkladı.
Bu kampanya, güçlü ekran kartlarına sahip kullanıcıları, özellikle oyuncuları ve donanım meraklılarını hedef aldı. Microsoft, kötü amaçlı yazılımın ScreenConnect, Microsoft .NET araçları ve CrystalDiskInfo ile HWMonitor gibi sahte indirmeleri kullanarak kripto madencilerini çalıştırdığını belirtti.
Son npm uyarısı, temel güvenlik adımlarına dikkat çekiyor. Geliştiricilerin son paket yüklemelerini denetlemesi, şüpheli bağımlılıkları kaldırması, ifşa edilen kimlik bilgilerini yenilemesi ve cüzdan aktivitelerini kontrol etmesi öneriliyor. Kripto kullanıcılarının ise seed phrase’leri bağlı cihazlarda saklamaktan kaçınması ve her cüzdan işlemini imzalamadan önce doğrulaması gerekiyor.
Bu içerik hazırlanırken faydalanılan kaynaklar: crypto.news
