Phantom, cüzdan sağlayıcısı olarak Solana ekosisteminde tanınan bir şirket, kullanıcılarını yakın zamanda Solana/web3.js kütüphanesinde keşfedilen kritik bir güvenlik açığından etkilenmediği konusunda güvence verdi.
1.95.6 ve 1.95.7 sürümlerinde bulunan açık, özel anahtarları çalmak için tasarlanmış kötü amaçlı yazılımları içeriyordu. Bu hata, savunmasız sürümlere bağımlı olan uygulama ve geliştiriciler için ciddi bir tehdit oluşturdu ve kullanıcı fonlarını hırsızlığa açık hale getirdi.
Phantom’un güvenlik ekibi, X platformunda açıkladığı bir bildiride, bu sürümleri hiç kullanmadıklarını doğruladı ve kullanıcılarının güvende kalmasını sağladı.
Bu güvenlik açığı, Solana geliştirici topluluğunda yankı uyandırdı.
İlk alarmı veren Solana geliştiricisi Trent Sol, tehlikeye açık sürümleri, geçerli gibi görünen CloudFlare başlıkları aracılığıyla özel anahtarları sızdırabilen bir “gizli hırsız” olarak tanımladı.
Geliştiricilere ve projelere derhal 1.95.8 sürümüne geçmeleri veya 1.95.5 etkilenmeyen sürümü kullanmaları tavsiyesinde bulundu.
Bu güvenlik açıklarına rağmen, Drift , Solflare ve Phantom gibi büyük projeler, tehlikeye açık sürümleri kullanmamaları veya ek güvenlik katmanları uygulamaları nedeniyle güvende olduklarını onayladılar.
Solana Web3.js Kütüphanesindeki Hata: Kimler Tehlikeye Açık?
Bir Socket.dev gönderisine göre, bir tedarik zinciri saldırısı Solana/web3.js kütüphanesini ihlal edebilir, Solana üzerine inşa eden geliştiriciler için temel bir bileşeni hedef alabilir.
Geliştiriciler arasında yaygın olarak kullanılan bağımlılıkları hedefleyen bu tür saldırılar, 1.95.6 ve 1.95.7 sürümlerine addToQueue adında bir arka kapı işlevi yerleştirdi.
Kötü amaçlı işlev, etkinliğini meşru CloudFlare başlık verileri olarak gizleyerek özel anahtarların sızdırılmasını sağladı.
Ele geçirildikten sonra bu anahtarlar, FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx olarak tanımlanan bir Solana cüzdan adresine iletildi.
Christophe Tafani-Dereeper gibi siber güvenlik araştırmacıları, Datadog’dan, kötü amaçlı sürümleri analiz etti ve saldırının sofistike doğasını vurguladı.
Operasyonda kullanılan alan adının (sol-rpc[.]xyz) 22 Kasım’da, saldırının halka açıklanmasından sadece günler önce kaydedildiğini keşfettiler.
Alan adı CloudFlare arkasında barındırıldı ve komuta ve kontrol (C2) sunucusu şu anda çevrimdışı.
Bu zaman çizelgesi, kütüphanenin idame ettirici hedeflerini hedefleyen bir kimlik avı veya sosyal mühendislik kampanyasının bir sonucu olması muhtemel olan dikkatle planlanmış bir saldırıya işaret ediyor.
Solana/web3.js’yi barındıran npm paket yöneticisi, tehlikeye açık sürümleri hızla kaldırdı.
Etkilenen sürümleri kullanan geliştiricilere 1.95.8 sürümüne derhal güncellemeleri veya projelerini şüpheli bağımlılıklar için denetlemeleri önerildi.
Solana ve Web3 Güvenliği İçin Daha Geniş Etkiler
Solana ekosistemi, etkileri hafifletmek için hızla yanıt verdi.
Phantom’a ek olarak, Backpack gibi büyük projeler, açığın onları etkilemediğini kullanıcılarına temin ettiler.
Böyle tedarik zinciri saldırıları, kötü niyetli aktörlerin geliştiricilerin güvendiği araçları ve kütüphaneleri hedeflemesiyle giderek yaygın hale gelmiştir.
Bu yılın başlarında, meşru bir API gibi maskelenen ve cüzdan anahtarlarını çalmak için tasarlanmış “Solana-py” adlı zararlı bir Python paketini içeren benzer bir saldırı meydana geldi.
Benzer şekilde, bu yılın Ekim ayında, Checkmarx tehdit araştırma ekibi, Python Package Index (PyPI) deposu üzerine yeni bir zararlı yazılım kampanyasını keşfetti ve zararlı bir “CryptoAITools” adlı paketi kullanarak kripto para birimi kullanıcılarını hedef aldı.
Yazılım, kendisini meşru bir kripto para ticaret aracı olarak maskeledi ve mağdurları, Windows ve macOS sistemlerinde kötü niyetli aktiviteler gerçekleştirirken yanıltıcı bir grafik kullanıcı arayüzü ile oyalamayı başardı.
Kurulduktan sonra yazılım, sahte bir web sitesinden ek bileşenler indirerek, cüzdan kurtarma ifadeleri, kayıtlı şifreler, tarayıcı geçmişi ve hatta macOS’ta Apple Notes gibi hassas verileri çalmak için karmaşık bir çok aşamalı enfeksiyon süreci başlatıyor.
PyPI yoluyla ilk enfeksiyonun ötesinde, kampanya diğer platformlara yayılmakta ve kurbanları kandırmak için çok sayıda sosyal mühendislik taktiği kullanmaktadır.
