4 Sahte npm Paketiyle Kripto Cüzdanları ve Kimlik Bilgileri Hedefleniyor

Anasayfa » 4 Sahte npm Paketiyle Kripto Cüzdanları ve Kimlik Bilgileri Hedefleniyor
Siber Güvenlik, Tedarik Zinciri Saldırıları, Zararlı Yazılım
Mart 27, 2026Mart 27, 2026Tarafından Cybernews.TR
0
4 Sahte npm Paketiyle Kripto Cüzdanları ve Kimlik Bilgileri Hedefleniyor

Son analizlere göre, “Hayalet Kampanya” adı verilen bir tehdit grubu, npm ekosisteminde yayılan dört zararlı paket aracılığıyla kripto cüzdanları ve kullanıcı kimlik bilgilerini hedef alıyor. Bu paketler, özellikle JavaScript ve React tabanlı projelerde kullanılan kütüphaneler olarak kamufle edilerek geliştiricilerin sistemlerine sızıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanyada tespit edilen paketler “react-performance-suite”, “react-state-optimizer-core”, “react-fast-utilsa” ve “ai-fast-auto-trader” olarak sıralanıyor. Bu paketler, MCP istemcisi ve Pydantic AI gibi modern araçlarla entegre edilerek, arka planda kötü amaçlı kod çalıştırıyor. Zararlılar, AsyncRAT benzeri uzaktan erişim araçlarıyla komuta kontrol (C2) sunucularıyla iletişim kuruyor ve çalınan verileri dışarı aktarıyor.

Saldırı zinciri genel olarak şu adımlardan oluşuyor:

  • Kullanıcı veya geliştiricinin npm üzerinden zararlı paketi yüklemesi,
  • Pakette gömülü kötü amaçlı kodun sistemde çalışması ve kimlik bilgilerini, kripto cüzdanlarını hedeflemesi,
  • AsyncRAT benzeri araçlarla C2 sunucularına bağlantı kurulması,
  • Verilerin dışarı sızdırılması ve saldırganların erişim kazanması.

Hangi Sistemler Risk Altında?

Özellikle açık kaynak kodlu projelerde npm paketlerini kullanan yazılım geliştiriciler, finansal teknoloji (FinTech) şirketleri ve kripto para ekosisteminde faaliyet gösteren kurumlar hedefte. Ayrıca, bu paketlerin CI/CD boru hatlarına entegre edilmesi durumunda, kurumsal ortamlar da risk altında kalabiliyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • npm paketlerinin kaynağını ve imzalarını doğrulayın,
  • EDR ve SIEM sistemlerinde npm paket yükleme aktiviteleri için özel kurallar oluşturun,
  • Şüpheli paketlerin davranışlarını analiz etmek için sandbox ortamları kullanın,
  • Çok faktörlü kimlik doğrulama (MFA) uygulayın ve erişim haklarını minimumda tutun,
  • Ağ segmentasyonu ile kritik sistemleri izole edin,
  • Olay müdahale (incident response) planlarını npm tabanlı tedarik zinciri saldırılarına göre güncelleyin,
  • Geliştirici ekiplerine e-posta güvenliği ve sosyal mühendislik saldırılarına karşı eğitim verin,
  • Yazılım tedarik zinciri güvenliği için Zero Trust prensiplerini uygulayın.

Teknik Özet

  • Kullanılan araçlar: MCP istemcisi, Pydantic AI, AsyncRAT
  • Hedef sektörler: Yazılım geliştirme, FinTech, kripto para kullanıcıları
  • Zafiyetler: Paket tedarik zinciri zafiyetleri, kimlik avı ve sosyal mühendislik
  • Saldırı zinciri: Zararlı npm paketi yüklemesi → kötü amaçlı kod çalıştırma → C2 iletişimi → veri sızıntısı
  • Önerilen savunma: Paket doğrulama, EDR ve SIEM entegrasyonu, MFA, ağ segmentasyonu

Bu kampanya, yazılım tedarik zinciri saldırılarının ne kadar karmaşık ve sinsi olabileceğini gösteriyor. Geliştiriciler ve güvenlik ekipleri, npm gibi yaygın kullanılan paket yöneticilerinde güvenlik kontrollerini artırmalı ve şüpheli aktiviteleri anında tespit edebilmek için gelişmiş izleme sistemleri kullanmalıdır.

, , , , , , ,