Açık Kaynak proje kötü niyetli kodlar içeriyor, Solana kullanıcılarının Özel Anahtarları çalındı

2025'in Temmuz başlarında, Solana kullanıcılarına yönelik bir kötü niyetli saldırı olayı güvenlik ekibinin dikkatini çekti. Bir kullanıcı, GitHub'da barındırılan açık kaynak projesini kullandıktan sonra, kripto varlıklarının çalındığını fark etti. Derinlemesine bir araştırmanın ardından, güvenlik uzmanları bu olayın arka planını ortaya çıkardı.

Olay, "solana-pumpfun-bot" adlı bir GitHub projesinden kaynaklanıyor. Bu projenin görünüşte yüksek sayıda star ve fork'u var, ancak kod gönderim geçmişi anormal derecede yoğun ve sürekli güncellenme özelliğinden yoksun. Daha fazla analiz, projenin şüpheli bir üçüncü parti paket olan "crypto-layout-utils"'e bağımlı olduğunu ortaya koydu.

Bu şüpheli paket npm resmi tarafından kaldırıldı ve belirli versiyonu resmi tarihçede bulunmuyor. package-lock.json dosyasını kontrol ederek, araştırmacılar saldırganların bu paketin indirme bağlantısını bir GitHub release sayfasının adresiyle ustaca değiştirdiğini keşfettiler.

Bu yüksek düzeyde karmaşıklaştırılmış kötü niyetli paketi indirip analiz ettikten sonra, güvenlik ekibi bunun kullanıcıların bilgisayar dosyalarını tarayan kötü niyetli kod içerdiğini doğruladı. Cüzdan veya Özel Anahtar ile ilgili içerikler bulunduğunda, bunlar saldırganların kontrolündeki sunucuya yüklenecektir.

Araştırma ayrıca, saldırganların kötü amaçlı yazılımları dağıtmak ve projelerin güvenilirliğini artırmak için birden fazla GitHub hesabını kontrol etmiş olabileceğini ortaya koydu. Daha fazla kullanıcıyı çekmek ve saldırı alanını genişletmek için Fork ve Star işlemlerini kullandılar.

"crypto-layout-utils" dışında, "bs58-encrypt-utils" adlı başka bir kötü niyetli paket de benzer saldırılar için kullanıldı. Bu, saldırganların npm'den paket kaldırıldıktan sonra, kötü niyetli kodu dağıtmaya devam etmek için indirme bağlantılarını değiştirme yöntemini benimsediklerini göstermektedir.

Zincir üzerindeki analiz, çalınan fonların bazı ara cüzdanlar aracılığıyla geçtikten sonra nihayetinde kripto para borsa platformlarına yönlendirildiğini gösteriyor.

Bu olay, Açık Kaynak topluluğunun karşılaştığı güvenlik zorluklarını vurgulamaktadır. Saldırganlar, meşru projeleri taklit ederek, yüksek ilgi oluşturma gibi yöntemlerle kullanıcıları kötü niyetli bağımlılık içeren kodları çalıştırmaya ikna etmeyi başarmış, bu da Özel Anahtar sızıntısına ve varlık kaybına yol açmıştır.

Güvenlik uzmanları, geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı dikkatli olmalarını öneriyor, özellikle cüzdan veya Özel Anahtar işlemleriyle ilgili olduğunda. Hata ayıklamak için, hassas verilerin sızmasını önlemek adına en iyi izolasyon ortamında gerçekleştirilmesi önerilir.

Bu olay, birden fazla kötü niyetli GitHub deposu ve npm paketini içermektedir; güvenlik ekibi, topluluğun referansı için ilgili bilgileri derlemiştir. Geliştiricilerin üçüncü taraf bağımlılıklarını dikkatli bir şekilde kullanmaları, projelerin güvenliğini düzenli olarak gözden geçirmeleri ve açık kaynak ekosisteminin sağlıklı gelişimini birlikte korumaları gerekmektedir.