Kötü Amaçlı npm Paketleri Flashbots’u Taklit Ederek Ethereum Cüzdan Anahtarlarını Çalıyor

Anasayfa » Kötü Amaçlı npm Paketleri Flashbots’u Taklit Ederek Ethereum Cüzdan Anahtarlarını Çalıyor
Haberler, Kripto Para, Siber Güvenlik, Yazılım Güvenliği
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Kötü Amaçlı npm Paketleri Flashbots’u Taklit Ederek Ethereum Cüzdan Anahtarlarını Çalıyor

Socket araştırmacısı Kush Pandya’nın analizine göre, kötü amaçlı npm paketleri Flashbots MEV altyapısını taklit ederek kullanıcıların özel anahtarları ve mnemonic tohumlarını tehdit aktörünün kontrolündeki Telegram botuna sızdırıyor. Bu paketler, “flashbotts” adlı kullanıcı tarafından npm’ye yüklenmiş olup, ilk paket Eylül 2023’te yayımlanmış ve en son yükleme 19 Ağustos 2025 tarihinde gerçekleşmiştir.

Kötü Amaçlı Paketlerin İşleyişi

En tehlikeli paket olan “@flashbotts/ethers-provider-bundle”, Flashbots API uyumluluğu izlenimi vererek SMTP üzerinden ortam değişkenlerini Mailtrap aracılığıyla gizlice sızdırıyor. Ayrıca, imzalanmamış işlemleri saldırganın cüzdan adresine yönlendirip, önceden imzalanmış işlemlerden meta verileri kaydeden bir işlem manipülasyon fonksiyonu içeriyor. “sdk-ethers” paketi ise zararsız gibi görünse de, geliştiricilerin farkında olmadan çağırdığı iki fonksiyon mnemonic tohum ifadelerini Telegram botuna iletiyor.

Flashbots Taklidi ve Tehdit Aktörlerinin Stratejisi

“flashbot-sdk-eth” özel anahtar hırsızlığı için tasarlanmışken, “gram-utilz” paketi modüler yapısıyla rastgele verileri Telegram sohbetine sızdırıyor. Mnemonic tohum ifadeleri, kripto cüzdan erişimini sağlayan kritik anahtarlar olduğundan, bu bilgilerin çalınması cüzdanların tamamen ele geçirilmesine yol açıyor. Kaynak kodundaki Vietnamca yorumlar, tehdit aktörünün Vietnamca konuşan bir grup olabileceğini işaret ediyor.

Yazılım Tedarik Zinciri Saldırılarına Dikkat

Bulgular, saldırganların yazılım tedarik zinciri saldırılarıyla platform güvenini kötüye kullanarak kötü amaçlı işlevselliği zararsız kod arasında gizlediğini gösteriyor. Pandya, Flashbots’un doğrulayıcılar, arayıcılar ve DeFi geliştiricileri tarafından yaygın şekilde kullanıldığını ve bu nedenle taklit paketlerin sıcak cüzdanları yöneten operatörler tarafından benimsenme riskinin yüksek olduğunu vurguluyor. Ele geçirilen özel anahtarların fonların anında ve geri döndürülemez şekilde çalınmasına neden olabileceği belirtiliyor.

Sonuç olarak, tanıdık paket isimleriyle geliştirici güvenini suistimal eden bu kötü amaçlı npm paketleri, Web3 geliştirme ortamını tehdit aktörü kontrolündeki Telegram botlarına doğrudan bir kanal haline getiriyor.

, , , , , , ,