Kaspersky uzmanları, kötü amaçlı yazılımlar aracılığıyla 500 bin dolarlık kripto para hırsızlığı yapıldığını tespit etti. Olay, geliştiricilerin kullandığı açık kaynaklı paketlerdeki güvenlik açıkları üzerinden gerçekleşti.
Kaspersky’nin GReAT (Global Araştırma ve Analiz Ekibi) uzmanları, Quasar arka kapısını ve kripto para çalmak için tasarlanmış bir hırsızın indirilmesinde kullanılan açık kaynaklı paketler buldu. Bu paketler, yapay zeka destekli kodlama aracı Visual Studio Code tabanlı Cursor AI geliştirme ortamı için tasarlanmıştı. Siber olay sırasında Rusya’daki bir blockchain geliştiricisi, saldırganların yaklaşık 500 bin dolar değerinde kripto varlık çalmasına neden olan sahte bir uzantıyı bilgisayarına yüklediğini fark ederek Kaspersky ile iletişime geçti.
Saldırganlar, kötü amaçlı paketin indirilme sayısını yapay olarak artırarak geliştiricileri kandırmayı başardı. Kurulum sonrasında uzantı, cihaza kötü amaçlı ScreenConnect yazılımını yükleyerek saldırganlara uzaktan erişim imkanı sağladı. Bu erişim sayesinde tarayıcılardan, e-posta istemcilerinden ve kripto cüzdanlarından veri toplayan bir hırsızla birlikte açık kaynaklı Quasar arka kapısı kullanıldı. Saldırganlar, geliştiricinin cüzdan bilgilerini ele geçirerek kripto paraları çaldı.
Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Georgy Kucherin, güvenlik ihlali olan açık kaynak paketlerini tespit etmenin zorlaştığını belirterek, deneyimli BT uzmanlarının bile hassas verileri korumak için güvenlik çözümleri kullanması gerektiğini vurguladı.
Saldırganların ayrıca ScreenConnect’i indiren solsafe adlı başka bir NPM paketi de yayınladığı tespit edildi. Daha önce de solaibot, among-eth ve blankebesxstnion adlı üç kötü amaçlı Visual Studio Code uzantısı yayınlanmış, ancak bunlar depodan kaldırılmıştı.
