Son zamanlarda Zscaler ThreatLabz araştırma firması tarafından yapılan bir inceleme, kripto para alanındaki insanları hedef alan akıllıca bir tuzağı ortaya çıkardı. 2025 yılının Kasım ayında, araştırmacılar NPM'de gizlenmiş üç kötü amaçlı yazılım paketini tespit etti. NPM, geliştiricilerin her gün uygulama geliştirmek için kullandığı dev bir kamu kütüphanesidir.
Bu dosyalar sadece hatalar değildi; araştırmacıların NodeCordRAT adını verdiği belirli bir virüsü yaymak için tasarlanmıştı. Bu temelde, birinin bilgisayarınıza arka kapı açarak ne yaptığınızı izlemesine ve dosyalarınızı çalmasına olanak tanıyan Uzaktan Erişim Truva Atı (RAT)dır.
Aldatmaca Zinciri
İnceleme sırasında, saldırganların sadece kötü amaçlı yazılım yüklemekle kalmayıp, yakalanmamak için bir dosya zinciri oluşturdukları belirtildi. Gerçek ve güvenilir araçların adlarına çok benzeyen isimler kullandılar. Araştırmacılara göre, saldırgan (supertalented730@gmail.com e-posta adresiyle bağlantılı) üç spesifik paketi yükledi:
- bip40 (Yaklaşık 958 kez indirildi)
- bitcoin-lib-js (Yaklaşık 183 kez indirildi)
- bitcoin-main-lib (Yaklaşık 2,286 kez indirildi)
Daha fazla araştırma yapıldığında, bir geliştirici ilk iki paketi yüklemeye çalıştığında, arka planda otomatik olarak üçüncü paket olan bip40'ı çeken gizli bir scriptin devreye girdiği bulundu. Bu süreç tamamen arka planda otomatik olarak gerçekleşiyor ve kullanıcı hiçbir ‘Evet/Hayır’ açılır penceresi veya uyarı görmüyor.
Ayrıca, bip40'ın diğer kütüphaneleri tamamen atlayarak bağımsız bir paket olarak indirilmesi de mümkündür. Geliştiricileri sahte paketleri indirmeye kandırmak için saldırgan, gerçek bitcoinjs projesinde bulunan depoların isim varyasyonlarını kullandı. Zscaler’in blog yazısında bu belirtiliyor.
Discord Üzerinden Kontrol
Bu saldırıyı benzersiz ve rahatsız edici kılan, hackerların geri bildirim almasıdır. Bildiğimiz gibi Discord, genellikle oyun veya sohbet için kullanılır, ancak bu hackerlar bunu özel bir Discord kanalına basit metin komutları göndererek uzaktan kontrol için kullandılar. Bu sayede, hackerlar enfekte olmuş bilgisayara tam olarak ne yapması gerektiğini söyleyebiliyorlardı.
Araştırmacılar, virüsün belirli kısayol komutlarına yanıt verdiğini de belirtti. Örneğin, !run komutu, saldırganların istedikleri herhangi bir kodu çalıştırmasına olanak tanırken, !screenshot masaüstünüzün bir fotoğrafını çeker ve !sendfile saldırganların sabit diskinizdeki herhangi bir dosyayı seçip doğrudan sohbetlerine yüklemelerine olanak tanır.
Ne Peşindeler
NodeCordRAT özellikle Chrome verilerini hedef alıyor; bu veriler arasında kaydedilmiş şifreler ve giriş bilgileri, kripto cüzdanları (özellikle MetaMask tohum ifadeleri ve dijital anahtarlar) ve API gizli anahtarları, işletmelerin web sitelerini çalışır durumda tutmak için kullandığı gizli dosyalar (örneğin, .env dosyaları) yer alıyor.
Bu paketlerin NPM mağazasından kaldırıldığı belirtilse de, indiren binlerce kişi için zarar verilmiş olabilir. Eğer kripto veya geliştirme sektörlerinde çalışıyorsanız, bu spesifik isimler için son indirmelerinizi kontrol etmek iyi bir fikir olabilir.
