Rust Tabanlı Zararlı Paket Web3 Geliştiricilerini Hedefliyor: İşletim Sistemine Özel Yükleme Taktikleri

Anasayfa » Rust Tabanlı Zararlı Paket Web3 Geliştiricilerini Hedefliyor: İşletim Sistemine Özel Yükleme Taktikleri
Tedarik Zinciri, Web3 Güvenliği, Zararlı Yazılım
Aralık 3, 2025Aralık 3, 2025Tarafından Cybernews.TR
0
Rust Tabanlı Zararlı Paket Web3 Geliştiricilerini Hedefliyor: İşletim Sistemine Özel Yükleme Taktikleri

Son dönemde ortaya çıkan kötü amaçlı Rust paketleri, Web3 geliştirici ortamlarını hedef alan sofistike bir tedarik zinciri saldırısının parçası olarak dikkat çekiyor. “evm-units” ve “uniswap-utils” isimli paketler, Nisan 2025 ortasında crates.io platformuna yüklendi ve toplamda 14.000’den fazla indirme aldıktan sonra kaldırıldı. Bu paketler, Ethereum Virtual Machine (EVM) araçları gibi görünerek geliştiricilerin güvenini kazanmaya çalıştı.

Saldırı Zinciri ve Teknik Detaylar

Kötü amaçlı paketler, “get_evm_version()” adlı zararsız görünen bir fonksiyon aracılığıyla dış bir URL’den (download.videotalks[.]xyz) işletim sistemine özgü ikinci aşama yüklerini indiriyor. Bu yükler Linux, macOS ve Windows sistemlerinde farklı yöntemlerle çalıştırılıyor:

  • Linux: Bir betik /tmp/init dizinine indiriliyor ve nohup komutuyla arka planda çalıştırılıyor.
  • macOS: “init” adlı dosya indiriliyor ve osascript kullanılarak arka planda çalıştırılıyor.
  • Windows: PowerShell betiği “init.ps1” geçici dizine indiriliyor, ardından Qihoo 360 antivirüsünün “qhsafetray.exe” işlemi kontrol ediliyor. Antivirüs tespit edilirse yürütme akışı değiştirilerek doğrudan PowerShell çağrılıyor; aksi halde görünmez bir pencere ile Visual Basic Script sarmalayıcısı kullanılıyor.

Bu yöntemler, saldırganların farklı işletim sistemlerinde kalıcı ve gizli erişim sağlamasına olanak tanıyor. Özellikle Qihoo 360 antivirüsünün varlığının kontrol edilmesi, saldırının Çin pazarına özgü hedeflemeye işaret ediyor.

Hangi Sistemler Risk Altında?

Bu saldırı, özellikle Web3 geliştirme ortamlarında kullanılan Rust paket yöneticisi crates.io üzerinden yayıldığı için, Ethereum ve EVM tabanlı projelerde çalışan geliştiriciler ve altyapılar risk altında bulunuyor. Ayrıca, Çin merkezli antivirüs yazılımı kullanan sistemler hedeflenerek bölgesel bir odaklanma gözlemleniyor. Bu durum, Asya’daki perakende kripto para piyasaları ve geliştirici ekosistemleri için ciddi tehdit oluşturuyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Crates.io ve benzeri paket yöneticilerinden indirilen paketlerin bütünlüğünü ve kaynağını doğrulayın.
  • EDR sistemlerinde “get_evm_version()” gibi olağandışı fonksiyon çağrılarını izleyin ve anormal ağ trafiği için SIEM çözümlerini yapılandırın.
  • Qihoo 360 gibi antivirüs yazılımlarının süreçlerini ve davranışlarını düzenli olarak denetleyin.
  • PowerShell ve Visual Basic Script kullanımını kısıtlayarak, özellikle görünmez pencere veya arka plan betik çalıştırmalarını engelleyin.
  • Ağ segmentasyonu uygulayarak, geliştirici ortamlarını kritik altyapılardan izole edin.
  • Olay müdahale planlarınızı güncelleyerek tedarik zinciri saldırılarına karşı hazırlıklı olun.
  • MFA ve IAM politikaları ile erişim kontrollerini sıkılaştırın.

Teknik Özet

  • Kötü Amaçlı Araçlar: Rust tabanlı “evm-units” ve “uniswap-utils” paketleri, PowerShell ve Visual Basic Script betikleri.
  • Hedefler: Web3 geliştiricileri, Ethereum ekosistemi, Asya bölgesi özellikle Çin antivirüs kullanıcıları.
  • Saldırı Zinciri: Paket yüklemesi → Zararsız fonksiyon çağrısı → İşletim sistemine özel zararlı yük indirme ve çalıştırma → Kalıcı erişim.
  • Önleme: Paket kaynağı doğrulaması, gelişmiş EDR ve SIEM kullanımı, ağ segmentasyonu, script kullanım kısıtlamaları.

Bu olay, tedarik zinciri saldırılarının Web3 ve kripto para geliştirme ekosistemlerinde giderek artan bir tehdit olduğunu gösteriyor. Siber güvenlik ekiplerinin, özellikle e-posta güvenliği, fidye yazılımı ve bulut güvenliği alanlarında entegre savunma stratejileri geliştirmesi kritik önem taşıyor.

, , , , , , ,