Tedarik Zinciri Zehri: Güvenilir Güncellemeler Ne Zaman Malware Olur?

Özet: Çok dikkatlisiniz. Korsan sitelere girmezsiniz. Sadece yasal yazılımları güncellersiniz. Ve yine de hacklenirsiniz. İşte "Ledger Connect Kit" hackinin kabusu ve güvenilir kaynaklardan nasıl korunacağınız.

1. Ledger Connect Kit Olayı

Aralık 2023'te kripto dünyası nefesini tuttu.

Ledger doğrudan hacklenmedi. Ledger'ın kullandığı bir Kütüphane hacklendi.

Eski bir çalışan kimlik avı kurbanı oldu. Hackerlar onun NPM hesabına erişti ve @ledgerhq/connect-kit kütüphanesine kötü amaçlı kod yükledi.

Bir anda, bu kütüphanenin son sürümünü kullanan tüm web siteleri (SushiSwap, Revoke.cash vb.) kullanıcılara otomatik olarak sahte bir cüzdan penceresi göstermeye başladı.

Kullanıcılar yanlış bir şey yapmadı. Doğru siteye girdiler ama site zehirli bir "Tedarik Zinciri" yükledi.

2. Nasıl Çalışır?

Modern yazılımlar Lego parçaları gibidir. Geliştiriciler tüm kodu kendileri yazmaz. Başkalarından "Bağımlılıklar" (Dependencies/Libraries) çekerler.

• Uygulamanız A Kütüphanesini kullanır.
• A Kütüphanesi B Kütüphanesini kullanır.
• B Kütüphanesi hacklenir.

Hackerlar bu yöntemi sever çünkü tek bir kütüphaneyi hackleyerek aynı anda milyonlarca kurban elde ederler.

3. Nasıl Korunursunuz (Kullanıcılar İçin)

Teknoloji Devlerinin bile ıskaladığı bir şeyden nasıl korunabiliriz?

"Bekle" Kuralı (The Wait Rule)

Büyük bir güncelleme veya yeni bir özellik geldiğinde, güncelleyen ilk kişi olmayın.

Topluluğun (ve Twitter/X Kripto Güvenlik uzmanlarının) kontrol etmesi için 24-48 saat verin. Bir Tedarik Zinciri Saldırısı varsa, haberler çok hızlı yayılır.

Çapraz Kontrol

Favori dApp'iniz garip bir şeyi Etkinleştirmenizi (Enable) veya Onaylamanızı (Approve) isterse:

1. Twitter hesaplarını kontrol edin.
2. Discord'larını kontrol edin.
3. Güvenlik araştırmacılarının (@zachxbt gibi) Twitter hesaplarını kontrol edin.

Eğer her yer sessizse... muhtemelen güvenlidir. Ama herkes "BAĞLANMAYIN" diye bağırıyorsa, kurtulursunuz.

Sonuç

Birbirine bağlı bir dünyada, güvenliğiniz en zayıf halkaya bağlıdır. Bazen hemen güncelleme yapmayan bir "Geç Benimseyen" (Late Adopter) olmak, trend belirleyici olmaktan daha güvenlidir.