NPM Arz Ağı Saldırısı: Büyük Borsa Kurşunu Atlatıyor, Ancak Kripto Kullanıcıları Riskte Kalıyor

Dünyanın en büyük kripto para borsası olan, hacim bakımından, Salı günü müşterilerine verilerinin ve varlıklarının, JavaScript ekosistemini vuran en önemli tedarik zinciri saldırılarından biri olarak adlandırılan olay sırasında güvende kaldığını temin etti.

Sosyal medyada paylaşılan bir açıklamaya göre, borsa, haftada 2 milyondan fazla uygulama indirilmesine neden olan yaygın olarak kullanılan Node.js paketlerine yönelik bir ihlal sırasında veritabanına zarar gelmediğini doğruladı.

“Son zamanlarda yaygın olarak kullanılan birkaç JavaScript paketinin kötü amaçlı versiyonlarını yayınlayan tedarik zinciri saldırısının farkındayız,” şirket yazdı. “Yaptığımız araştırmalar sonucunda, etkilenmediğimizi ve müşteri verilerinin veya varlıklarının risk altında olmadığını doğruladık. Güvenlik, önceliğimiz olmaya devam ediyor, bu ihlal bize tedarik zinciri güvenliğinin ne kadar kritik olduğunu hatırlatıyor. Güvende kalın.”

Kripto alanında tanınmış bir şahsiyet sosyal platformda şunları yorumladı: “Açık kaynak yazılımlar bile günümüzde güvenli değil. Web3, Web2 için güvenliği yeniden tanımlayacak. Hâlâ erken dönemdayız.”

JavaScript Paket Saldırısı Kripto Topluluğunu Tedirgin Ediyor

Güvenlik araştırmacıları tarafından NPM tarihindeki en büyük saldırılardan biri olarak tanımlanan saldırı, 8 Eylül'de gerçekleşti. Hackerlar, resmi npmjs iletişimlerini taklit eden sofistike bir kimlik avı e-postası aracılığıyla güvenilir açık kaynak bakımcısı “qix” (Josh Junon)'ın hesabını ele geçirdi.

Saldırganların, Junon'u 10 Eylül 2025'te hesabının kilitleneceği konusunda sahte bir uyarı ile ne kadar kolay bir şekilde manipüle ettiğini rahatsız edici buluyorum, eğer hemen iki faktörlü kimlik doğrulama bilgilerini güncellemezse.

“Hesap güvenliğine olan sürekli bağlılığımızın bir parçası olarak, tüm kullanıcıların İki Aşamalı Kimlik Doğrulama (2FA) kimlik bilgilerini güncellemelerini istiyoruz. Kayıtlarımız, son 2FA güncellemenizin üzerinden 12 aydan fazla zaman geçtiğini göstermektedir,” diye belirtiyordu aldatıcı e-posta.

Junon daha sonra sosyal medyada, başka bir bakıcının NPM hesabının “arka kapılı paketler yayınladığını” açıklamasının ardından bir oltalama planının kurbanı olduğunu kabul etti. Bu durum, saldırganların hesabını ele geçirip chalk, debug, ansi-styles ve strip-ansi dahil olmak üzere 18 popüler Node.js kütüphanesine kötü niyetli güncellemeler göndermesine olanak sağladı.

Kripto İşlemler Özellikle Hedeflenmiştir

Aikido Security tarafından yapılan analiz, saldırganların ele geçirilmiş paketlere tarayıcı tabanlı müdahaleyi sağlayan kod enjekte ettiklerini ortaya koydu. Kötü amaçlı kod, etkilenen paketleri kullanan herhangi bir uygulamadaki ağ trafiğini ve uygulama API'lerini sessizce izleyebileceği index.js dosyalarında gizlenmişti.

Script, özellikle Bitcoin, Ethereum, Solana, Tron, Litecoin ve Bitcoin Cash ile ilgili cüzdan adreslerini ve işlemleri izler. Tespit edildiğinde, hedef cüzdan adresini saldırganlar tarafından kontrol edilen bir adresle sessizce değiştirerek, mağdurun bilgisi olmadan fonları yönlendirir.

Bir donanım cüzdanı üreticisinin CTO'su, kötü niyetli kodun bir milyardan fazla indirme ile paketlere zaten yayıldığını bildirdi.

Blockchain analitik firması Arkham Intelligence, Pazartesi akşamı, şu ana kadar sadece $159 değerinde kripto paranın çalındığını ve bunun güvenlik araştırmacıları tarafından tanımlanan adreslere izlenebildiğini bildirdi.

Ancak, bu aldatıcı derecede düşük rakamın, tehlikeye atılmış paketlerle ilişkilendirilen milyarlarca indirme göz önüne alındığında, gerçek potansiyel zararı gizlediğinden endişeliyim. Yavaş başlangıçtaki hırsızlık, çok daha büyük bir fırtınadan önceki sessizliği temsil ediyor olabilir.