Microsoft, Kripto Cüzdanları Hedef Alan Kötüniyetli npm Paketlerini Keşfetti

• Microsoft, Hugging Face API'lerini kötüye kullanan iki zararlı npm paketini tespit etti.
• Paketler, tuş basımlarını, ekran görüntülerini ve cüzdan verilerini çalmak için bir RAT dağıttı.
• Olay, kripto kullanıcılarını hedef alan devam eden npm tedarik zinciri risklerini vurgulamaktadır.

3 Haziran 2026 tarihinde Microsoft Tehdit İstihbaratı, iki kompromis npm paketinin, Hugging Face deposunu (repo) veri sızdırma amacıyla kullanarak klavye vuruşlarını, ekran görüntülerini ve kripto cüzdan kimlik bilgilerini çalmak için bir uzaktan erişim trojanı (RAT) dağıttığını bildirdi.

Microsoft Tehdit İstihbaratı, tanımladı iki zararlı npm paketi, [email protected] ve [email protected], bu paketler kötü niyetli şekilde ele geçirildi veya yayınlandı. Bu paketler, tuş basmalarını yakalayabilen, ekran görüntüsü alabilen ve kripto para cüzdanı kimlik bilgilerini çalabilen bir RAT dağıtır.

Paketler, Hugging Face depolarını veri sızdırma altyapısı olarak kullanarak, zararlı trafiği legítim makine öğrenimi iş yükleriyle karıştırarak tespiti kaçınır. Paketler, npm kullanıcısı hexalpha10 (yazar: toskypi) tarafından yayınlandı.

Geliştiriciler veya derleme hatları compromisli npm paketlerini kurduğunda, paketler arka planda tam özellikli bir RAT dağıtır. RAT, bilgisayarlar üzerindeki kullanıcı etkinliklerini izleyerek, cüzdan şifreleri, anahtar cümleler veya özel anahtarlar gibi girdileri yakalayarak ve popüler kripto cüzdan uygulamalarından ve tarayıcı eklentilerinden depolanan kimlik bilgilerini çıkararak hassas bilgileri aktif olarak çalmak üzere tasarlanmıştır.

Uzun vadeli erişimi korumak için, kötü amaçlı yazılım, kurulumdan hemen sonra platforma özel yöntemleri kullanır:

• Windows'ta: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 konumunda bir Run anahtarı oluşturur ve MicrosoftSystem64 adlı bir planlı görev ayarlar.
• Linux'ta: MicrosoftSystem64.service adlı bir systemd hizmeti kurar.

Payload, özel bir dizine (MicrosoftSystem64/payload.js) bırakılır ve RAT, orijinal npm paketinden bağımsız olarak çalışır. RAT, iki komut ve kontrol (C2) sunucusu kullanır: 195.201.194.107:8010 (WebSocket) ve c2-toskypi.onrender.com (HTTP); ayrıca, kopyalanan verileri meşru Hugging Face depolarını veri dışa aktarma uç noktası olarak kötüye kullanarak akıllıca dışa aktarır (huggingface.co/api).

Zararlı npm paketlerinin keşfi, özellikle Hugging Face gibi güvenilen AI altyapılarının gizli operasyonlar için silahlandırıldığı yazılım tedarik zinciri saldırılarının nasıl hızla geliştiğinin açık bir hatırlatıcısıdır.

Hemen etki açıkça görülüyor; npm bağımlılıklarına dayanan geliştiriciler ve organizasyonlar, özellikle kripto para veya hassas geliştirici tokenları işleyen ortamlarda kimlik bilgisi çalma ve uzun vadeli kompromaya karşı artan bir riskle karşı karşıya. Hugging Face trafiğini “iyi niyetli ML faaliyeti” olarak beyaz listeye alan standart güvenlik araçları, ek bağlam olmadan artık güvenilir değildir.

Geleceğe bakıldığında, Microsoft Tehdit İstihbaratı, huggingface.co/api'ye ML dışı iş yüklerinden gelen beklenmedik trafiğin bir kompromayı gösterebileceğini vurgulamaktadır. Bu kampanya, giderek daha karmaşık hale gelen yapay zeka destekli kötü amaçlı yazılımları ortaya koymakta ve davranışa dayalı tespit, sürekli dış API izleme, güçlendirilmiş npm tedarik zinciri kontrolleri ve açık kaynak bağımlılıkların sıfır güvence doğrulaması yönünde bir dönüşümü teşvik etmektedir.

İlgili:TrapDoor Zararlı Yazılımı, Aptos, Solana ve Sui Geliştirici Ekosistemlerini Hedefliyor