2025 yılının en büyük yazılım güvenliği skandallarından biri, JavaScript dünyasını derinden sarstı. Haftalık 2,6 milyar indirme sayısına ulaşan popüler NPM paketleri, siber saldırganların hedefi oldu. Bu olay, açık kaynak projelerinde güvenliğin ne kadar kritik olduğunu bir kez daha gözler önüne serdi.
🎣 Oltalama Saldırısıyla Başlayan Kriz
8 Eylül 2025’te, saldırganlar NPM ekosisteminin önde gelen geliştiricilerinden *qix*’in hesabını ele geçirdi. “Update 2FA Now” başlıklı sahte bir e-posta, support@npmjs.help adresinden gelmiş gibi gösterilerek geliştiriciyi kandırdı. Bu klasik oltalama saldırısı, zincirleme bir güvenlik ihlaline yol açtı.
💣 Zararlı Kod Enjeksiyonu: Kripto Cüzdanlar Hedefte
Hesaba erişim sağlandıktan sonra, saldırganlar *chalk*, *debug*, *ansi-styles* gibi kritik paketlere zararlı JavaScript kodları enjekte etti. Bu kodlar, tarayıcıda çalışarak kullanıcıların kripto cüzdan adreslerini (Ethereum, Bitcoin, Solana, Tron, Litecoin, Bitcoin Cash) işlem imzalanmadan önce ele geçiriyor ve değiştiriyordu.
🧠 Saldırının Teknik Detayları
– Clipboard Hijacking: Kullanıcı cüzdan adresini kopyaladığında, zararlı kod bu adresi saldırganın benzer görünümlü adresiyle değiştiriyor.
– Transaction Interception: İşlem imzalanmadan hemen önce, alıcı adresi arka planda değiştiriliyor. Kullanıcı fark etmeden fonlar saldırgana gidiyor.
– Levenshtein Distance Algoritması: Gerçek adreslere çok benzeyen sahte adresler oluşturuluyor, bu da fark edilmesini zorlaştırıyor.
⚠️ Enfekte Paket Sürümleri: Hemen Temizlenmeli!
Aşağıdaki sürümler, zararlı kod içerdiği tespit edilen paketler arasında yer alıyor. Sisteminizde varsa derhal kaldırılmalı:
| Paket Adı | Enfekte Sürüm |
|——————-|—————|
| chalk | 5.6.1 |
| debug | 4.4.2 |
| ansi-styles | 6.2.2 |
| supports-color | 10.2.1 |
| strip-ansi | 7.1.1 |
| wrap-ansi | 9.0.1 |
🔍 Sisteminiz Güvende mi? Kontrol Etmenin Yolları
1. Paket Dosyalarını Tarayın
`package-lock.json` dosyanızda zararlı sürümleri aramak için şu komutu kullanabilirsiniz:
“`bash
grep -E ‘”(chalk|debug|ansi-styles|strip-ansi|supports-color)”:[[:space:]]*”(@5\.6\.1|@4\.4\.2|@6\.2\.2|@7\.1\.1)”‘ package-lock.json
“`
2. Modülleri Temizleyin ve Yeniden Kurun
Şüpheli paketler varsa, aşağıdaki adımlarla sisteminizi temizleyin:
“`bash
rm -rf node_modules
npm ci
# veya
yarn install –frozen-lockfile
“`
🛡️ Donanım Cüzdanları ve CI/CD Sistemleri Saldırıyı Sınırladı
Saldırının etkisi, CI/CD sistemlerinde yaşanan hatalar sayesinde erken fark edildi. Kodun bazı hatalar içermesi, otomatik testlerde çökme yaratınca güvenlik uzmanları durumu hızla tespit etti. Ayrıca, donanım cüzdanları (Ledger, Trezor) gibi cihazlar, işlem detaylarını bağımsız olarak gösterdiği için kullanıcılar sahte adresleri fark edebildi.
📉 Gerçek Etki: Milyarlarca Risk, Sadece $497 Kayıp
Saldırının potansiyel etkisi milyarlarca doları bulabilecek düzeydeydi. Ancak hızlı müdahale sayesinde toplamda yalnızca yaklaşık $497 değerinde kripto para çalındı. Bu durum, topluluk reflekslerinin ve güvenlik araçlarının ne kadar önemli olduğunu gösteriyor.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
