Meşru Solana JavaScript SDK dün bir tedarik zinciri saldırısında geçici olarak tehlikeye atıldı ve kütüphane kripto para birimi özel anahtarları ve drenaj cüzdanlarını çalmak için kötü amaçlı kodla geri çekildi.
Solana, Solana Blockchain ile bağlantı kurmak ve etkileşim kurmak için merkezi olmayan uygulamalar (DAPPS) tarafından kullanılan "@solana/web3.js" adlı bir SDK sunar.
Tedarik Zinciri Güvenlik Firması soketi, Solana'nın Web3.js kütüphanesinin, cüzdanları güvence altına almak ve işlemleri imzalamak için özel ve gizli kriptografi anahtarlarını çalmak için iki kötü amaçlı sürüm çıkardığını bildirdi.
Socket, "NPM'de haftalık ~ 350.000'den fazla indirme alan popüler@Solana/Web3.js kütüphanesinin 1.95.6 ve 1.95.7 sürümlerinde bir tedarik zinciri saldırısı tespit edildi."
"Bu tehlikeye atılan sürümler, şüphesiz geliştiricilerden ve kullanıcılardan özel anahtarları çalmak için tasarlanmış enjekte edilmiş kötü amaçlı kod içerir ve potansiyel olarak saldırganların kripto para cüzdanlarını boşaltmasını sağlar."
Solana, yayın erişim hesaplarından birinin tehlikeye atıldığını ve saldırganların kütüphanenin iki kötü amaçlı sürümünü yayınlamasına izin verdiğini belirterek ihlali doğruladı.
"Bugünün başlarında, Solana Dapps tarafından yaygın olarak kullanılan bir JavaScript kütüphanesi olan@Solana/Web3.js için bir yayın erişim hesabı tehlikeye atıldı. Bu, bir saldırganın değiştirilmiş ve özel anahtar çalmalarını sağlayan yetkisiz ve kötü niyetli paketler yayınlamasına izin verdi. Özel anahtarları doğrudan ele alan DAPP'lerden gelen malzeme ve tahliye fonları, çünkü bu işlemler sırasında özel anahtarlar değil. Belirli bir JavaScript istemci kitaplığı ve yalnızca özel anahtarları doğrudan idare eden ve 2 Aralık 2024 Salı günü UTC ve 20:25 UTC penceresinde güncellenen projeleri etkiliyor gibi görünüyor.
Bu iki yetkisiz versiyon (1.95.6 ve 1.95.7) saatler içinde yakalandı ve o zamandan beri yayınlanmadı. "
Solana, en son V1.95.8 sürümüne hemen yükseltmek ve çoklugs, program yetkilileri ve sunucu tuşlarını dahil olmak üzere tüm anahtarları döndürmekten ödün verildiklerinden şüphelenilen geliştiricileri uyarıyor.
Datadog araştırmacısı Christophe Tafani-Dereeper'a göre, tehdit aktörleri gizli ve özel anahtarları çalan ve bunları saldırganın sunucusuna gönderen kötü niyetli bir AddToqueue işlevi ekledi.
Araştırmacı, "V1.95.7'ye yerleştirilen arka kapı, özel anahtarı görünüşte boş bulutflare başlıkları aracılığıyla püsküren bir" AddToqueue "işlevi ekliyor."
"Daha sonra bu işleve yapılan çağrılar, (meşru olarak) özel anahtara erişen çeşitli yerlere eklenir."
BleepingComputer, uzlaşmış kütüphaneyi gözden geçirdi ve Librar'daki beş önemli konuma addToQueue işlevine yapılan çağrılar eklendi - fromSecretKey (), fromSeed (), createInstructionWithpubleKey () ve createInstructionWithPriveTey () işlevleri ve hesap inşaatçısı.
İşlevler kütüphane boyunca kullanılır ve aşağıdaki işlevlere sahiptir:
Kötü amaçlı kod, geçilen veya oluşturulan gizli anahtarı (ilk iki işlev ve hesap yapıcısı) veya geçilen özel anahtarı (son iki işlev) çalacak ve https: // sol-rpc [.] Xyz/ API/RPC/Kuyruk.
Bu alan 22 Kasım'da 19:58:27 UTC'de kaydedildi ve diğer saldırılarda kullanılmadı.
Tehdit aktörleri bu anahtarlara eriştikten sonra, bunları kendi cüzdanlarına yükleyebilir ve depolanan tüm kripto para birimini ve NFT'leri uzaktan boşaltabilirler.
Soket, saldırının şu anda 674.86 Solana ve değişen miktarlarda Solan ve değişen miktarlarda Irish Pepe, Star Atlas, Jupiter, USD Coin, Catwet, Yenek, Yıldız, Catwet, FNVLGTUCZ4E1PPJHRTEV6QV4X7G8PW6WPSTHCCBAKBFX Solana adresine kadar izlendiğini söylüyor.
Solscan, çalınan kripto para biriminin tahmini değerinin bu yazı sırasında 184.000 dolar olduğunu gösteriyor.
Bu tedarik zinciri saldırısında cüzdanları tehlikeye atılan herkes için, kalan fonları hemen yeni bir cüzdana aktarmalı ve özel anahtarlar artık tehlikeye girdikçe eskisinin kullanımını durdurmalısınız.
Lottiefiles, kullanıcıların kriptolarını çalmak için tedarik zinciri saldırısına hacklendi
Nebraska Man, 3,5 milyon dolarlık kriptajlama planına suçlu bulunuyor
ABD Ücretleri Dağınık Örümcek Siber Saçma Çetesi ile bağlantılı
Şimdi Bluesky, 20 milyon kullanıcıyı geçerken kripto dolandırıcılarıyla vurdu
Çerçeve Araştırmacı için kötü niyetli taahhütlerle hedeflenen GitHub projeleri
Kaynak: Bleeping Computer