Haberler 
Coin Bilgisi 
Hakkımızda 
Kripto geliştiricileri ve yatırımcılarını hedef alan yeni bir kimlik avı saldırısının, GitHub açık kaynak topluluğu üzerinden yayıldığı ortaya çıktı. Siber güvenlik firması SlowMist’in 2’sindeki açıklamasına göre, bir Solana(SOL) kullanıcısı, kendini “işlem botu” olarak tanıtan kötü amaçlı bir yazılıma kandırılarak cüzdanındaki varlıkları kaybetti. ‘solana-pumpfun-bot’ adıyla dağıtılan program, faydalı bir araç gibi davranıp kullanıcıların ‘özel anahtar’ bilgilerini gizlice toplayarak saldırganın kontrolündeki sunuculara gönderdi.
Olay, mağdur kişinin 2 Temmuz’da GitHub üzerinden ilgili botu indirip çalıştırmasıyla başladı. Node.js ile yazılmış olan bu uygulama, zararlı içeriği özel olarak hazırlanmış bir GitHub bağlantısı üzerinden çekerek sistemine yükledi. Bu sayede, paketlerin resmi NPM depolarındaki güvenlik doğrulamalarından kaçınarak herhangi bir güvenlik uyarısı olmadan sistem içine yerleşmeyi başardı. Yazılım çalıştırıldıktan sonra kullanıcının bilgisayarındaki kripto cüzdanları taranarak özel anahtar bilgileri toplandı ve doğrudan uzak bir sunucuya gönderildi.
Saldırganlar, projenin görsel açıdan güvenilir görünmesine de özen gösterdi. Paylaşılan depoda yıldız sayısı, çatallanma (fork) miktarı ve son güncellemeler gibi istatistiklerle güven aşılandı. Ancak kaynak kodun sadece üç hafta önce yüklendiği ve arkasında sahte GitHub hesaplarıyla desteklenmiş sahte bir proje olduğu tespit edildi.
SlowMist, konuya ilişkin sosyal medya paylaşımında, “Açık kaynak gibi görünen kötü amaçlı yazılımlar giderek artıyor. Kullanıcılar, özellikle özel anahtar erişimi isteyen araçları çalıştırmadan önce izole bir ortamda test etmeli ve içeriğinden emin olduktan sonra dikkatlice hareket etmeli” uyarısında bulundu.
Bu vaka, açık kaynak geliştirme ortamlarının hedef alınmasında dolandırıcıların giderek daha karmaşık yöntemler kullandığını gösteriyor. Kripto cüzdanlarına ve özel anahtarlara erişim sağlayan projeler, doğal olarak en öncelikli hedefler haline geliyor. Bu nedenle yalnızca geliştiricilerin değil, bireysel yatırımcıların da açık kaynak kodlarının güvenliğini nasıl değerlendirmeleri gerektiğini öğrenmeleri oldukça kritik.
Uzmanlar, GitHub gibi açık kaynak platformlarındaki projelerin de her zaman ‘güvenli bölge’ olmadığına dikkat çekerek, “Cüzdanla etkileşime giren veya özel anahtar talep eden her araç, yüksek riskli kabul edilmelidir” ifadelerini kullandı. Bu olay, dijital varlık güvenliğinde en büyük tehdidin sistemin karmaşıklığı değil, ne yazık ki ‘dikkatsizlik’ olduğuna yeniden dikkat çekiyor.
Yorum 0