Haberler 
Coin Bilgisi 
Hakkımızda 
Javascript’in temel kütüphanelerinden birine yönelik yapılan saldırı, şimdiye kadar görülen *en büyük tedarik zinciri saldırısı* olarak kayıtlara geçti. Açığa çıkarılan kötü amaçlı yazılımın, kripto para cüzdan adreslerini değiştirerek veya işlemleri engelleyerek kullanıcıların varlıklarını çalmayı hedeflediği ortaya çıktı. Kripto para topluluğunda *geniş çaplı bir alarm* durumu ilan edilirken, kullanıcıların dikkatli olması konusunda uyarılar yapılıyor.
Söz konusu saldırı, Javascript geliştiricileri tarafından yaygın şekilde kullanılan paket yönetim aracı *NPM (Node Package Manager)* üzerinden gerçekleştirildi. Çeşitli haber kaynaklarına göre, tanınmış bir geliştiricinin NPM hesabı ele geçirilerek milyonlarca uygulamada kullanılan popüler bir Javascript kütüphanesine kötü amaçlı kod yerleştirildi. Bu kodun, kullanıcıların gerçekleştirdiği kripto işlemlerde cüzdan adreslerini gizlice değiştirerek ya da işlem verilerini çalarak zarara yol açtığı açıklandı.
Güvenlik yazılım şirketi Ledger’ın üst düzey teknoloji yöneticisi Charles Guillemet, olayla ilgili yaptığı açıklamada *güvenilir bir geliştiricinin NPM hesabı ele geçirilerek büyük çaplı bir tedarik zinciri saldırısının* başlatıldığını belirtti. Guillemet, “İlgili paket bugüne kadar 1 milyar kezden fazla indirildi. Bu da Javascript ekosisteminin büyük kısmının potansiyel riske açık olduğu anlamına geliyor” dedi.
Saldırganlar tarafından içerisine zararlı yazılım yerleştirilen kütüphanelerin çok geniş bir kullanım alanı olması nedeniyle, sorunun etkilerinin uzun süre hissedilmesi bekleniyor. Özellikle merkeziyetsiz uygulamalar (dApp), cüzdan uzantıları ve işlem arayüzleri gibi *kripto para projeleri ciddi bir güvenlik tehdidiyle* karşı karşıya kalmış durumda.
Uzmanlar, yazılım tedarik zinciri saldırılarının son dönemde ciddi artış gösterdiğine dikkat çekerken, açık kaynak kodlarla çalışan projelerde güvenlik denetimlerinin sıklaştırılması ve imzalı paketlerin kullanıldığı güvenli dağıtım yöntemlerine geçilmesi gerektiğini vurguluyor. Kripto varlıklarla doğrudan etkileşimde bulunan kullanıcılar ve geliştiricilerin, paketleri kurmadan veya güncellemeden önce çok daha titiz bir güvenlik incelemesinden geçirmesi gerektiği açıkça ifade ediliyor.
Yorum 0