Solana ekosistemi kötü niyetli NPM paket saldırısına uğradı, kullanıcı varlıkları risk altında

2025 yılının Temmuz ayının başlarında, Solana ekosistemine yönelik bir güvenlik olayı geniş çapta dikkat çekti. Bir kullanıcı GitHub'daki bir açık kaynak projesini kullanmasının ardından, kripto varlıklarının çalındığını fark etti. Güvenlik ekibinin yaptığı araştırmalar sonucunda, özenle tasarlanmış bir saldırı davranışı ortaya çıkarıldı.

Saldırganlar, kullanıcıları kötü niyetli kod içeren bir Node.js projesini indirmeye ve çalıştırmaya kandırmak için meşru bir açık kaynak projesi olarak kendilerini göstermektedir. "solana-pumpfun-bot" adı verilen bu proje normal görünmektedir, yüksek bir Star ve Fork sayısına sahiptir, ancak kod güncellemeleri anormal derecede yoğun olup, sürekli bakım özelliklerinden yoksundur.

Derin analizler, projenin şüpheli bir üçüncü taraf paketi olan "crypto-layout-utils"'a bağımlı olduğunu ortaya koydu. Bu paket NPM resmi olarak kaldırılmıştır, ancak saldırganlar package-lock.json dosyasını değiştirerek indirme bağlantısını kontrol ettikleri bir GitHub deposuna yönlendirmişlerdir. Bu kötü amaçlı paket yüksek derecede obfuskasyona tabi tutulmuş olup, kullanıcıların bilgisayar dosyalarını tarama işlevine sahiptir; cüzdan veya özel anahtar ile ilgili içerikler tespit edildiğinde, bu bilgiler saldırganların sunucularına yüklenecektir.

Saldırganlar, kötü niyetli projeleri Fork'lamak ve bunların güvenilirliğini artırmak için birden fazla GitHub hesabını da kontrol etti. "crypto-layout-utils" dışında, "bs58-encrypt-utils" adlı başka bir kötü niyetli paket de benzer saldırılar için kullanıldı. Bu kötü niyetli paketler, 2025 yılının Haziran ortasından beri dağıtılmaya başlandı, ancak NPM harekete geçtikten sonra, saldırganlar indirme linklerini değiştirme yöntemiyle yayılmaya devam ettiler.

Zincir üzerindeki analizler, çalınan fonların bir kısmının bazı ticaret platformlarına yönlendirildiğini göstermektedir. Bu saldırı yöntemi, sosyal mühendislik ve teknik yöntemlerin bir birleşimidir; bu nedenle, örgüt içindeki savunmalar bile tamamen etkili olamaz.

Benzer riskleri önlemek için, geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı yüksek derecede dikkatli olmaları önerilir, özellikle cüzdan veya özel anahtar işlemleri söz konusu olduğunda. Hata ayıklama yapmanız gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda gerçekleştirmeniz en iyisidir.

Bu olay, birden fazla kötü niyetli GitHub deposu ve NPM paketi ile ilgilidir. Güvenlik ekibi, referans olması için ilgili bilgi listesini hazırlamıştır. Bu saldırı, Web3 ekosisteminde güvenlik bilincinin ve temkinli bir tutumun son derece önemli olduğunu bir kez daha hatırlatmaktadır.