Kaspersky Global Araştırma ve Analiz Ekibi (GReAT), açık kaynaklı kötü amaçlı paketler aracılığıyla gerçekleştirilen 500 bin dolarlık kripto para hırsızlığını ortaya çıkardı.
Şirketten yapılan açıklamaya göre, Kaspersky uzmanları, Quasar arka kapısını ve kripto para birimlerini çalmak üzere tasarlanmış bir hırsızı sisteme indirmek için kullanılan kötü niyetli açık kaynak paketlerini keşfetti.
Sahte Solidity Uzantısı ile Geliştiricileri Kandırdılar
Saldırganların, Open VSX deposunda barındırılan ve Solidity programlama dili için destek sunduğunu iddia eden uzantılar üzerinden hareket ettiği belirtildi. Ancak bu uzantılar indirildiğinde, kullanıcıların cihazlarına kötü amaçlı kod yükleyerek çalışmaya başlıyor.
Rusya’da bir blockchain geliştiricisinin bilgisayarına bu sahte uzantılardan birinin yüklenmesiyle yaklaşık 500 bin dolar değerinde kripto varlık çalındı. Geliştirici, durumu fark ettikten sonra Kaspersky’e başvurdu.
İndirme Sayısı Yapay Olarak Şişirildi
Tehdit aktörünün, kötü amaçlı paketi meşru paketlerin üzerinde sıralanacak şekilde manipüle ederek geliştiricileri kandırdığı kaydedildi. Ayrıca paketin indirilme sayısı yapay olarak 54 bine çıkarıldı. Uzantı kurulduktan sonra görünürde herhangi bir işlevsellik sağlamazken, bilgisayara ScreenConnect yazılımını yükleyerek saldırganlara uzaktan erişim izni verdi.
Bu erişim sayesinde Quasar arka kapısı ve bir bilgi hırsızı konuşlandırıldı. Saldırganlar, tarayıcılar, e-posta istemcileri ve kripto cüzdanlarından veri toplayarak geliştiricinin cüzdan tohum cümlelerini ele geçirdi ve böylece hesabındaki kripto paraları çaldı.
2 Milyon Yapay İndirme ile Yeniden Yayımlandı
Olayın ardından Kaspersky’nin talebiyle söz konusu kötü amaçlı uzantı depodan kaldırıldı. Ancak tehdit aktörü uzantıyı yeniden yayımlayarak bu kez indirme sayısını 2 milyona kadar yapay olarak şişirdi. Bunun üzerine uzantı tekrar kaldırıldı.
Kaspersky’den Öneriler ve Uyarılar
Kaspersky, açık kaynak ekosisteminde kullanılan bileşenlerin izlenmesi gerektiğini vurgulayarak şu tavsiyelerde bulundu:
- Paketlerin bakımcısının veya arkasındaki kuruluşun güvenilirliğini kontrol edin.
- Sürüm geçmişine, sağlanan belgelere ve aktif sorun izleyicilere bakarak doğrulama yapın.
- Açık kaynak dünyasına ilişkin güvenlik bültenlerini takip edin.
- Tehdit aktörlerinin sisteminize erişmiş olabileceğinden şüpheleniyorsanız Kaspersky Compromise Assessment hizmetinden yararlanın.
“Gözle Ayırt Etmek Artık Daha Zor”
Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Georgy Kucherin, açık kaynak paketlerinde kötü amaçlı unsurları çıplak gözle tespit etmenin giderek zorlaştığını belirtti.
Kucherin, “Tehdit aktörleri, potansiyel kurbanları, hatta siber güvenlik konusunda yetkin blockchain geliştiricilerini bile kandırmak için giderek daha yaratıcı yöntemler kullanıyor. Saldırıların devam etmesini beklediğimizden, deneyimli BT uzmanlarının bile hassas verileri korumak ve mali kayıpları önlemek adına özel güvenlik çözümlerinden faydalanmalarını öneriyoruz” dedi.
