Solana kullanıcı varlıkları çalındı: Kötü niyetli NPM paketi özel anahtarları çaldı olayı analizi

2 Temmuz 2025 tarihinde, bir kullanıcı güvenlik ekibinden yardım istedi ve kripto varlıklarının çalınma nedenini analiz etmelerini istedi. Yapılan araştırmada, olayın bu kullanıcının GitHub'da barındırılan açık kaynaklı proje solana-pumpfun-bot'u kullanmasından kaynaklandığı belirlendi.

Güvenlik ekibi hemen bir soruşturma başlattı. Projenin GitHub deposuna erişim sağlandığında, projenin Star ve Fork sayısının yüksek olmasına rağmen, kod gönderim zamanlarının anormal bir şekilde yoğunlaştığı ve sürekli güncellemelerin eksik olduğu tespit edildi.

Daha fazla analiz, bu Node.js projesinin crypto-layout-utils adlı şüpheli bir üçüncü taraf paketi kullandığını ortaya koymuştur. Bu bağımlılık paketi resmi olarak kaldırılmıştır ve package.json'da belirtilen sürüm NPM resmi geçmişinde yer almamaktadır.

package-lock.json dosyasında, araştırmacılar saldırganların crypto-layout-utils'un indirme bağlantısını bir GitHub deposunun sürüm indirme adresi ile değiştirdiğini buldu. Bu yüksek derecede karmaşık bağımlılık paketini indirdikten ve analiz ettikten sonra, bunun kötü niyetli bir NPM paketi olduğu doğrulandı.

Bu kötü amaçlı paket, kullanıcıların bilgisayar dosyalarını tarar; cüzdan veya Özel Anahtar ile ilgili içerik tespit ederse, bunu saldırganın kontrolündeki sunucuya yükler. Saldırgan ayrıca, kötü amaçlı yazılımları dağıtmak ve projelerin güvenilirliğini artırmak için birden fazla GitHub hesabını kontrol ediyor olabilir.

crypto-layout-utils dışında, bs58-encrypt-utils adında başka bir kötü niyetli paket daha bulundu. Bu kötü niyetli paketler, 2025 yılının Haziran ortasından itibaren dağıtılmaya başlandı ve daha sonra NPM paket indirme bağlantılarını değiştirme yöntemiyle yayılmaya devam etti.

Zincir üzerindeki analiz araçlarıyla yapılan takip sonucunda, çalınan fonların bir kısmının bir borsa platformuna aktarıldığı tespit edilmiştir.

Bu saldırı, meşru açık kaynak projelerini gizleyerek kullanıcıları kötü niyetli bağımlılık içeren kodları indirmeye ve çalıştırmaya teşvik ederek cüzdanın Özel Anahtarını çalmaktadır. Saldırganlar, birden fazla GitHub hesabını koordine ederek işbirliği yapmış, yayılma alanını genişletmiş ve güvenilirliklerini artırmışlardır; bu da oldukça aldatıcıdır.

Geliştiricilerin ve kullanıcıların kaynağı belirsiz GitHub projelerine karşı dikkatli olmaları önerilir, özellikle cüzdan veya Özel Anahtar işlemleri söz konusu olduğunda. Hata ayıklama gerekiyorsa, bunu bağımsız ve hassas veri içermeyen bir ortamda yapmak en iyisidir.