KuCoin
Giriş Yap
language_currency
Ana Sayfa
Blog
Tips and Tricks
Detaylar
img

Uyarı | KuCoin Güvenlik Ekibi, Borsa Kullanıcılarını Hedef Alan Tedarik Zinciri Saldırısını Yakaladı

2025/02/18 07:45:49

Özel Görüntü

Giriş 

12 Şubat 2025 tarihinde, KuCoin güvenlik ekibi, kendi geliştirdiği güvenlik tarama platformu aracılığıyla, büyük merkezi borsaların (CEX) kullanıcılarını hedef alan bir tedarik zinciri saldırısını tespit etti. Takım hızlıca yanıt verdi ve bağımlılık paketinde gömülü olan zararlı davranışları analiz etti. Şu anda, zararlı bağımlılık yüzlerce kez indirilmiştir. KuCoin’in güvenlik ekibi, zararlı bağımlılığı NPM resmi ekibine bildirdi ve kullanıcıların dikkatli olmaları için bu uyarıyı yayınlıyor. 

Örnek Analiz 

Örnek Davranış 

KuCoin'ün güvenlik tarama platformu, resmi NPM deposunda KuCoin API SDK'sı olarak gizlenmiş bir bağımlılık paketi tespit etti. npm üzerinden kurulduğunda bu paket, kullanıcı sunucusunda veya yerel makinede saklanan gizli anahtarları alır ve bunları zararlı domaine gönderir: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

Özel Görüntü

Örnek Analiz

KuCoin'un sandbox tarama platformu üzerinden yapılan analiz, bu zararlı bağımlılığın NPM resmi deposunda hem KuCoin hem de Kraken ile ilgili SDK bağımlılık paketlerini taklit ettiğini ortaya çıkardı.

Özel Görüntü

Özel Görüntü

Bu tür bağımlılıklar, kullanıcıların sahte bağımlılık paketlerini yüklemelerine yönlendirmek için karıştırılmış isimler kullanırlar. Kurulum sırasında, kullanıcıların yerel ortamından veya sunucudan gizli anahtar dosyalarını çıkaran ve verileri DNSlog üzerinden kötü amaçlı bir domaine gönderen zararlı komutları gömürler.

Özel Görüntü

Zararlı davranışın özel tetikleme noktası şu şekildedir: Zararlı komut, bağımlılık paketinin ön yüklemesi sırasında çalıştırılır.

Özel Görüntü

Bu zararlı kaynak deposundaki tüm 10 bağımlılık paketi aynı davranışı göstermektedir. 

Özel Görüntü

Saldırgan Profili 

Soruşturma, saldırganla ilişkilendirilen aşağıdaki kayıt detaylarını NPM resmi deponda ortaya çıkarttı: 

Kullanıcı Adı: superhotuser1
Email: tafes30513@shouxs[.]com 

verifymail.io'ye göre, shouxs[.]com etki alanı geçici e-posta hizmetleriyle ilişkilendirilmiştir. Bu, saldırganın takip karşıtı teknikler konusunda deneyimli bir hacker olduğunu göstermektedir.

Özel Görüntü

Tehdit Açıklaması 

Tedarik zinciri saldırıları önemli riskler taşır. Gelişmeye devam ettikçe, etkileri birçok proje sayısız üçüncü taraf paketine bağlı olduğundan genişler. Zararlı bir paket yayınlandığında ve yaygın şekilde kullanıldığında etkileri hızla yayılır. Zararlı bağımlılıklar, ortam değişkenleri, API anahtarları ve kullanıcı verileri gibi hassas kullanıcı bilgilerini çalabilir ve veri sızıntılarına neden olabilir. Ayrıca, dosya silme, veri şifreleme (ransomware) veya sistem bozulması gibi yıkıcı eylemleri gerçekleştirebilirler. Ayrıca, saldırıya uğramış sistemler üzerinde uzun vadeli kontrol sağlayacak şekilde paket içinde arka kapılar gömebilir ve daha fazla saldırıya olanak tanıyabilirler. 

KuCoin ve Kraken'e hedef alan zararlı bağımlılıklar kullanıcı giriş anahtarlarını çalıyor. Kullanıcılar kullanıcı adı ve parola ile kişisel bilgisayarlarına veya sunucularına giriş yaparsa sunucularının ele geçirilme riski oldukça yüksek. 

KuCoin'ün güvenlik ekibi bu uyarıyı çıkardığı andan itibaren, zararlı bağımlılık yüzlerce kez indirilmişti. İndirme istatistikleri şöyledir: 

kucoin-production, indirme: 67
kucoin-main, indirme: 70
kucoin-internal, indirme: 63
kucoin-test, indirme: 69
kucoin-dev, indirme: 66 

kraken-dev, indirme: 70
kraken-main, indirme: 65
kraken-production, indirme: 67
kraken-test, indirme: 65
kraken-internal, indirme: 64 

IOC 

Tür 

Değer 

Notlar 

Alan Adı 

http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

Zararlı Dnslog Alt Alan Adı 

https://www[.]npmjs[.]com/~superhotuser1

Yasadışı Bağımlılık Kaynağı URL'si 

Yükleme Paketi Hashi 

cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz 

db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 

2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz 

ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 

6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 

1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 

371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz 

be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 

8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 

7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz 

Yanlışlıkla Bağımlılık Paketi Sha256 Değeri 

Azaltma 

Saldırgan, zararlı bağımlılığı yüklediği andan KuCoin güvenlik ekibinin onu tespit ettiği ana kadar geçen süre bir günden azdı. KuCoin güvenlik ekibi, sorunu zaten NPM resmi ekibine bildirmiştir, ancak daha fazla araştırma ve kaldırma işlemi zaman alabilir. Bu arada, KuCoin kullanıcıları uyardı ve saldırıdan korunmaları için bu kamuya açık uyarı yayımlamıştır.

 

Sorumluluk Reddi: Bu sayfa, kolaylığınız için AI teknolojisi (GPT destekli) kullanılarak çevrilmiştir. En doğru bilgi için orijinal İngilizce versiyona bakınız.