
Injective Labs’e ait popüler Injective SDK projesi, yazılım tedarik zincirini hedef alan yeni bir siber saldırının odağı oldu. Saldırganlar, projenin GitHub deposuna yetkisiz erişim sağlayarak npm üzerinden yayınlanan zararlı pakete kripto para cüzdanlarının özel anahtarlarını ve kurtarma ifadelerini çalan kod ekledi. Güvenlik araştırmacıları, etkilenen sürümü kullanan geliştiricilerin cüzdan bilgilerini derhâl yenilemesi gerektiği konusunda uyarıyor.
Zararlı Paket Kısa Sürede npm Üzerinden Dağıtıldı
Socket, Ox Security ve StepSecurity araştırmacıları, saldırının @injectivelabs/sdk-ts paketinin 1.20.21 sürümü üzerinden gerçekleştirildiğini tespit etti. Injective SDK güvenlik açığı, saldırganın projeye katkı sağlayan geliştiricilerden birine ait GitHub hesabını ele geçirmesiyle başladı. Yetkisiz erişimin ardından zararlı kod depoya eklendi ve kısa süre içinde npm üzerinde yayınlandı.
Saldırgan yalnızca ana paketi değiştirmekle yetinmedi. Projeye bağlı 17 farklı paketin yeni sürümleri de aynı zararlı SDK sürümüne bağımlı olacak şekilde güncellendi. Yazılım tedarik zinciri saldırısı, güvenilir görünen bağımlılıkların kötü amaçlı kod dağıtmak için kullanılmasını hedefleyen en tehlikeli yöntemlerden biri olarak değerlendiriliyor.
Araştırmacılar, zararlı kodun paket yüklenir yüklenmez çalışmadığını özellikle belirtiyor. Kötü amaçlı bileşen, geliştiricinin yeni cüzdan oluşturması veya mevcut cüzdanı içe aktarması sırasında devreye giriyor. Mnemonic seed phrase hırsızlığı, cüzdan kurtarma ifadeleri ile özel anahtarların ele geçirilmesini hedefleyen saldırının temel amacı olarak öne çıkıyor.
Zararlı yazılım, ele geçirdiği mnemonic ifadeleri ile özel anahtarları Base64 formatında kodladıktan sonra HTTP POST isteğiyle Injective Labs’e ait meşru altyapılardan birine gönderiyor. Ağ trafiğinin güvenilir bir hizmete yönelmesi, veri sızıntısının güvenlik sistemleri tarafından fark edilmesini zorlaştırabiliyor. Araştırmacılar ayrıca zararlı kodun bilgileri anında göndermek yerine yaklaşık iki saniye boyunca biriktirerek tek istekte ilettiğini tespit etti.
Yetkili geliştirici hesabın ele geçirildiğini kısa sürede fark ederek değişiklikleri geri alarak temiz içerik barındıran 1.20.23 sürümünü yayınladı. Buna rağmen zararlı sürüm kaldırılmadan önce yaklaşık 310 kez indirildi. npm paketi bağımlılıkları üzerinden yapılan analizler ise riskin görünen sayıdan daha büyük olabileceğine işaret ediyor.
Araştırmalara göre etkilenen paketin npm üzerinde doğrudan 87 bağımlılığı bulunuyor. Ox Security verileri, bu bağımlılıkların toplam indirme sayısının 112 bini aştığını gösteriyor. Dolaylı bağımlılıklar da hesaba katıldığında etkilenen proje sayısının çok daha yüksek olabileceği değerlendiriliyor.
Güvenlik uzmanları, zararlı sürümü kullandığından şüphelenen geliştiricilerin mevcut kripto varlıklarını yeni oluşturacakları cüzdanlara taşımalarını tavsiye ediyor. Özel anahtar sızıntısı yaşanmış olabileceği için API anahtarları, erişim belirteçleri ve diğer hassas bilgiler de yenilenmeli. Ele geçirilen kurtarma ifadeleri, saldırganların cüzdanları farklı cihazlara aktararak dijital varlıklara tam erişim sağlamasına imkân verebilir.
Son dönemde açık kaynak ekosistemini hedef alan tedarik zinciri saldırılarında belirgin artış yaşanıyor. Geliştiricilerin yalnızca paket güncellemelerini değil bağımlılık zincirlerini de düzenli olarak doğrulaması, yazılım geliştirme süreçlerinde giderek daha kritik bir güvenlik adımı hâline geliyor.




