Bozulmuş npm paketleri aracılığıyla kripto cüzdanlarını hedef alan önemli bir JavaScript tedarik zinciri saldırısı büyük ölçüde kontrol altına alındı ve sadece 1.043 dolarlık kripto para çalındı.

Yönetici Özeti

Tarihteki en büyük npm ihlali olarak tanımlanan yakın zamanda yaygınlaşan bir JavaScript tedarik zinciri saldırısı, popüler GitHub paketlerine yapılan kötü amaçlı güncellemeler aracılığıyla kripto para cüzdanlarını hedef aldı. Geniş potansiyel erişimine rağmen, bulut ortamlarının %99'u tarafından kullanılan paketleri etkilemesine ve bu ortamların %10'unda kötü amaçlı kod bulunmasına rağmen, saldırı yalnızca 1.043 dolarlık kripto para çalınmasıyla minimal finansal kayıplara neden oldu. Bu sınırlı etki, iki saat içinde hızlı tespit, dar tasarlanmış bir yük ve mevcut korumalarla birlikte artan geliştirici güvenlik farkındalığına atfedilmektedir.

Olay Detayları

8 Eylül 2025'te meydana gelen olay, tehdit aktörlerinin sofistike bir kimlik avı kampanyası aracılığıyla geliştirici Qix (Josh Junon)'un npm hesabının kontrolünü ele geçirmesini içeriyordu. Saldırgan, sahte bir alan adından gelen ikna edici bir iki faktörlü kimlik doğrulama (2FA) sıfırlama e-postasını kullanarak sürdürücünün kimlik bilgilerini ele geçirdi. Bu yetkisiz erişim, debug, chalk, supports-hyperlinks ve strip-ansi dahil olmak üzere haftalık milyarlarca indirme toplayan 18 popüler npm paketinin kötü amaçlı sürümlerinin yayınlanmasına izin verdi. Kötü amaçlı sürümler, UTC 13:16'dan yaklaşık 15:20'ye kadar yaklaşık iki saat boyunca npm kayıt defterinde aktifti; bu sırada topluluk şüpheli kodu tespit etti ve sürdürücüler temiz sürümlere geri döndü.

Finansal Mekanik ve Saldırı Vektörleri

Enjekte edilen kötü amaçlı kod, sunucu tarafı ortamlarını hedeflemedi, bunun yerine tarayıcı ortamlarında kripto işlemlerini ve Web3 API çağrılarını engellemeye odaklandı. Saldırı iki ana mekanizma kullandı: Cüzdan Kaçırma ve Ağ Yanıt Manipülasyonu. Cüzdan Kaçırma, MetaMask gibi cüzdanlara yapılan çağrıları engellemek için window.ethereum'a bağlanmayı ve giden işlemleri saldırgan tarafından kontrol edilen adreslere sessizce yönlendirmeyi içeriyordu. Ağ Yanıt Manipülasyonu, API yanıtlarında blok zinciri adreslerini taramak için fetch ve XMLHttpRequest'ı geçersiz kıldı ve daha sonra bunları Levenshtein “en yakın eşleşme” algoritmasını kullanarak görsel olarak benzer saldırgan adresleriyle değiştirdi. Saldırı, Ethereum, Bitcoin, Litecoin, Tron, BCH ve Solana dahil olmak üzere çok zincirli hedeflemeyi destekledi. 1.043 dolarlık minimal finansal etki, kısmen enjekte edilen kodda kritik bir hatanın CI/CD boru hatlarının çökmesine neden olması ve dolayısıyla beklenenden daha erken tespit edilmesine bağlanmaktadır.

Daha Geniş Etkiler ve Güvenlik Duruşu

Bu olay, özellikle geçişli bağımlılıklar ve sürdürücü hesap güvenliği ile ilgili olarak açık kaynak yazılım tedarik zincirindeki doğal güvenlik açıklarını vurgulamaktadır. Wiz telemetrisi, bulut ortamlarının %99'unun bu saldırının hedefi olan paketlerden en az bir örneğini içerdiğini ve kötü amaçlı kodun ihlal penceresi sırasında bu ortamların %10'una ulaştığını gösterdi. Saldırı, kripto ekosisteminde sofistike yazılım tedarik zinciri saldırılarının artan eğilimini ortaya koymaktadır. Uzun vadeli etkiler arasında Web3 geliştirme topluluğu genelinde yazılım tedarik zinciri güvenliğine ilişkin artan uyanıklık ve inceleme yer almaktadır. Bu olayın, Yazılım Malzeme Listesi (SBOM) oluşturma, SLSA çerçevesi uygulama, düzenli bağımlılık denetimi, paket kilit dosyalarının kullanılması ve kritik uygulamalar için özel npm kayıt defterlerinin değerlendirilmesi gibi daha sağlam güvenlik uygulamalarının benimsenmesini hızlandırması beklenmektedir. Bu önlemler, güvenilen geliştirme bağımlılıklarının finansal kötü amaçlı yazılım dağıtımı için vektör haline gelmesiyle ilişkili riskleri azaltmak ve merkezi olmayan finansın genel güvenlik duruşunu geliştirmek için çok önemlidir.