Crypto Copilot isimli bir Chrome uzantısı, Solana blok zinciri üzerinde faaliyet gösteren Raydium takaslarında gizli transfer ücretleri enjekte ederek kullanıcıların fonlarını izinsiz şekilde çekiyor. İlk olarak Mayıs 2024’te yayınlanan bu uzantı, kullanıcıların takas işlemlerine ekstra SystemProgram.transfer talimatları ekleyerek, işlem tutarının %0,05’i veya minimum 0,0013 SOL olmak üzere sabit bir ücret karşılığında saldırgan kontrolündeki cüzdana fon aktarıyor. Bu davranış, kötü amaçlı kod küçültme (minification) ve değişken isimlerini değiştirme gibi tekniklerle gizlenmiş durumda.
Uzantı ayrıca, “crypto-coplilot-dashboard.vercel[.]app” alan adı üzerinden arka planda bağlı cüzdanları kaydediyor ve kullanıcı etkinliklerini raporluyor. Bu alan adı, gerçek bir ürün barındırmıyor ve yalnızca arka uç iletişimi için kullanılıyor. Crypto Copilot, meşru hizmetler olan DexScreener ve Helius RPC gibi altyapıları kullanarak kullanıcıların güvenini kazanmayı amaçlıyor.
Türkiye İçin Ne Anlama Geliyor?
Türkiye’deki kurumlar, KOBİ’ler ve kritik altyapılar açısından bu tür gizli transfer ücretleri içeren saldırılar önemli riskler barındırıyor. Özellikle finansal teknoloji şirketleri ve kripto para hizmet sağlayıcıları, KVKK ve diğer regülasyonlar kapsamında kullanıcı verilerinin korunması ve şeffaf işlem yapılması zorunluluğuyla karşı karşıya. Bu tür kötü amaçlı uzantılar, kullanıcıların haberi olmadan fon kayıplarına yol açabilir ve kurumların itibarını zedeleyebilir.
Örneğin, Türkiye’de faaliyet gösteren bir e-ticaret sitesi, ödeme altyapısında benzer bir açık kullanılarak müşterilerin cüzdanlarından izinsiz küçük miktarlarda SOL çekilebilir. Bu durum, hem müşteri güvenini sarsar hem de KVKK kapsamında veri işleme ve güvenlik yükümlülüklerinin ihlaline neden olabilir. Ayrıca, kritik altyapılarda kullanılan MCP istemcileri veya konteyner tabanlı uygulamalarda rastgele SSH portları açılması gibi konfigürasyon hatalarıyla birleştiğinde, saldırganların sistemlere sızma ve zararlı yazılım yayma riski artar.
Türkiye’de SOC ekipleri ve sistem yöneticileri, bu tür tehditlere karşı e-posta güvenliği, fidye yazılımı koruması ve bulut güvenliği çözümlerini entegre ederek kapsamlı bir savunma hattı oluşturmalıdır. Ayrıca, Pydantic AI gibi yapay zeka destekli analiz araçları kullanılarak anormal işlem kalıplarının tespiti hızlandırılabilir.
Sistem Yöneticileri ve SOC Ekipleri İçin Hızlı Kontrol Listesi
- Tarayıcı uzantılarının izinlerini düzenli olarak gözden geçirin ve gereksiz izinleri kaldırın.
- EDR çözümleri ile kullanıcı cihazlarındaki anormal işlem imzalarını ve transfer aktivitelerini izleyin.
- Firewall kurallarını, bilinmeyen dış bağlantıları engelleyecek şekilde yapılandırın.
- Kripto cüzdan entegrasyonlarında işlem öncesi talimatların detaylı incelemesini zorunlu kılın.
- Uzantı ve uygulama kaynak kodlarını statik analiz araçlarıyla düzenli olarak tarayın.
- Konteyner ve sunucu altyapılarında rastgele açılan SSH portlarını kapatın ve erişim kontrollerini sıkılaştırın.
- Çalışanlara yönelik düzenli siber güvenlik farkındalık eğitimleri düzenleyin.
- Bulut servislerinde API erişim anahtarlarını ve arka uç bağlantılarını sıkı denetim altında tutun.
Teknik Özet
- Kullanılan zararlılar/araçlar: Kötü amaçlı Chrome uzantısı Crypto Copilot, kod küçültme ve değişken isim gizleme teknikleri.
- Hedef sektörler/ bölgeler: Kripto para kullanıcıları, DeFi platformları, özellikle Solana ekosistemi ve Raydium DEX kullanıcıları.
- Kullanılan zafiyetler: Uzantı aracılığıyla işlem öncesi gizli SystemProgram.transfer talimatı eklenmesi; CVE kaydı yok.
- Saldırı zinciri: 1) Kullanıcı Raydium takası yapar; 2) Uzantı gizli transfer talimatı ekler; 3) Ücret saldırgan cüzdanına aktarılır.
- Önerilen savunma: Tarayıcı uzantı izinlerinin sıkı kontrolü, işlem talimatlarının detaylı incelenmesi, EDR ve SIEM entegrasyonları ile anormal transferlerin tespiti.
Bu olay, kripto para ekosisteminde e-posta güvenliği ve bulut güvenliği gibi alanlarda alınacak önlemlerin önemini bir kez daha ortaya koyuyor. Fidye yazılımı ve diğer zararlı yazılım türlerine karşı da benzer proaktif yaklaşımlar gerekmektedir.