Haberlere Dön

Kaspersky, kullanıcı cüzdanlarını boşaltan sahte GitHub uygulamaları buldu

Siber güvenlik firması Kaspersky, GitHub'da kripto alım satım botlarının, portföy izleyicilerinin ve cüzdan araçlarının sahte versiyonları aracılığıyla yayılan kötü amaçlı yazılımlar tespit etti. Yazılım kurulduğunda, kopyalanan cüzdan adreslerini saldırganların adresleriyle değiştirebiliyor ve özel anahtarları çalarak kullanıcıların kripto paralarını riske atıyor.
Siber güvenlik firması Kaspersky, özellikle kripto para cüzdanlarını boşaltmak için tasarlanmış yeni bir kötü amaçlı yazılım altyapısı tespit etti. Saldırı yöntemi, sosyal mühendisliğe ve GitHub'da barındırılan truva atı içeren uygulamalara dayanıyor.

Kaspersky'nin Cuma günü yayınladığı bir raporda detaylandırdığı kampanya, meşru kripto araçlarının sahte versiyonlarını kullanıyor. Kurbanlar, alım satım botu, portföy izleyici veya cüzdan yönetim yazılımı gibi görünen kötü amaçlı kodları indirmeleri için kandırılıyor.

Kurulduktan sonra bu altyapı, pano verilerini ele geçirebiliyor – kopyalanan cüzdan adreslerini saldırgan kontrolündeki adreslerle değiştiriyor – ve cihazda saklanan özel anahtarları çalabiliyor. Kaspersky, kötü amaçlı yazılımın modüler olduğunu ve bu sayede operatörlerin tüm enfeksiyon zincirini yeniden oluşturmadan farklı zararlı yükleri değiştirebildiğini belirtti.

Kaspersky'nin araştırma ekibi raporda, "Bu basit bir 'script kiddie' operasyonu değil," diye belirtti. "Altyapı, net bir planlama olduğunu gösteriyor. Saldırganlar belirli bir kitleyi hedef alıyor: aktif olarak kripto varlıkları yöneten ve açık kaynaklı araçları kurmaya alışkın kişiler."

Kötü amaçlı yazılım, öncelikli olarak meşru görünen GitHub depoları aracılığıyla yayılıyor. Bazı depoların yıldız ve fork toplamış olması, onları güvenilir gösteriyor. Diğerleri ise Telegram grupları ve kripto odaklı forumlar aracılığıyla tanıtılıyor.

GitHub, DEX toplayıcı entegrasyonlarından MEV botlarına kadar kripto alım satım yazılımları için popüler bir dağıtım kanalıdır. Platformun varsayılan güven dinamiği saldırganların lehine işliyor – güncel commit'lere ve duyarlı görünen belgelere sahip bir depo, deneyimli kullanıcıları bile kandırabilir.

Kaspersky, belirli depo isimleri vermedi veya toplam kurban sayısına ilişkin bir tahminde bulunmadı. Şirket, yatırımcılara yazılım geliştiricilerinin kimliğini doğrulamalarını, dijital imzaları kontrol etmelerini ve mümkün olduğunda cüzdan işlemlerini internet bağlantısı olmayan makinelerde yapmalarını tavsiye etti.

Üçüncü taraf araçlara güvenen yatırımcılar için sonuçlar nettir: ele geçirilmiş bir uygulama, bir cüzdanı saniyeler içinde boşaltabilir. Bir oltalama e-postasına veya iki kez kontrol edilecek sahte bir web sitesine gerek yok – saldırgan zaten kullanıcının iş akışının içinde.

Altyapının modüler tasarımı, gelecekteki varyantların donanım cüzdanı iletişimini hedef alabileceğini veya tarayıcı eklentisi izinlerini kötüye kullanabileceğini düşündürüyor. Kaspersky, kötü amaçlı yazılımı dahili bir kod adıyla takip ettiğini ve operatörlerin kodu geliştirmeye devam etmesini beklediğini söyledi.

Kripto yatırımcıları, herhangi bir GitHub indirmesini potansiyel bir risk olarak görmelidir. En güvenli yaklaşım şudur: açık kaynak, güvenli olduğu anlamına gelmez. Kodu kendiniz denetleyin, önce bir sanal alanda (sandbox) çalıştırın veya tanınmış, denetlenmiş geliştiricilerin bilinen araçlarını kullanın.

İlgili haberler