Kuzey Koreli BlueNoroff Grubu, Web3 Kimlik Bilgilerini ve Verilerini Hedefleyen SilentSiphon Kötü Amaçlı Yazılımını Dağıtıyor

Yönetici Özeti

Kuzey Kore'nin devlet destekli hacker grubu BlueNoroff, çeşitli uygulamalar ve Web3 ile ilgili hizmetler genelinde kritik verileri ve kimlik bilgilerini tehlikeye atmak üzere özel olarak tasarlanmış yeni bir kötü amaçlı yazılım türü olan SilentSiphon'u konuşlandırdı. Bu sofistike tehdit, teknoloji yöneticileri ve Web3 geliştiricileri dahil olmak üzere macOS kullanıcılarını hedef alarak dijital varlık güvenliği konusunda endişeleri artırıyor.

Olay Detayları

SilentSiphon, hassas bilgileri toplamak ve sızdırmak için tasarlanmış birden fazla bash betiğinden oluşan bir çalıcı paketidir. Kötü amaçlı yazılım, Apple Notlar, Telegram, web tarayıcı uzantıları ve tarayıcılarda ve parola yöneticilerinde depolanan kimlik bilgilerinden veri toplama yeteneğine sahiptir. Ayrıca, GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, .NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP ve Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes ve OpenAI gibi çeşitli önde gelen blok zinciri platformları dahil olmak üzere geniş bir hizmet yelpazesiyle ilgili yapılandırma dosyalarındaki sırları hedefler.

Bu faaliyet, kötü şöhretli Lazarus Grubu'nun bir alt kümesi olan ve APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (önceki adıyla Copernicium) ve Stardust Chollima olarak da tanımlanan BlueNoroff'a atfedilmektedir. SilentSiphon dağıtımı, 2017'den beri aktif olan kapsayıcı SnatchCrypto operasyonu kapsamındaki daha büyük kampanyalar olan GhostCall ve GhostHire'ın bir parçasıdır.

GhostCall mağdurları Japonya, İtalya, Fransa, Singapur, Türkiye, İspanya, İsveç, Hindistan ve Hong Kong'daki çok sayıda macOS ana bilgisayarında gözlemlenmiştir. Bu kampanya öncelikle Telegram gibi platformlar aracılığıyla teknoloji ve risk sermayesi yöneticilerine doğrudan yaklaşarak ve onları Zoom benzeri kimlik avı web sitelerinde yatırım odaklı toplantılara çekerek hedef alır. Başta Japonya ve Avustralya'yı etkileyen GhostHire kampanyası, Web3 geliştiricilerine odaklanmaktadır. Saldırganlar Telegram üzerinden hedeflere yaklaşarak, beceri değerlendirmesi kisvesi altında kötü amaçlı GitHub depolarını indirmelerini ve yürütmelerini cazip hale getirirler.

Kötü Amaçlı Yazılım Operasyonunun Teknik Yapı Çözümü

SilentSiphon bir dizi bash betiği olarak çalışır. İlk enfeksiyondan sonra (genellikle CosmicDoor aracılığıyla), saldırganın Komuta ve Kontrol (C2) sunucularına veri toplama ve sızdırmayı kolaylaştırmak için birden fazla kabuk betiği oluşturulur. Anahtar bir bileşen olan upl.sh, mağdurun sistemine özgü çeşitli bağımsız veri çıkarma modüllerini bir araya getiren bir orkestrasyon başlatıcısı olarak işlev görür. Bu modüler yaklaşım, tehlikeye atılmış ortama göre uyarlanmış kapsamlı veri toplama olanağı sağlar ve tek tehdit vektörleri için tasarlanmış standart güvenlik önlemlerini etkili bir şekilde atlar.

Piyasa Etkileri

SilentSiphon'un ortaya çıkışı ve devam eden BlueNoroff kampanyaları, Web3 ekosistemi içinde tırmanan siber güvenlik risklerini vurgulamaktadır. Blok zinciri ile ilgili hizmetlerin ve geliştirici araçlarının doğrudan hedeflenmesi, kullanıcı güvenini aşındırabilir ve merkeziyetsiz teknolojilerin daha geniş çapta benimsenmesini engelleyebilir. Sosyal mühendislikten yararlanan ve yaygın olarak kullanılan platformları istismar eden bu saldırıların sofistike doğası, hem bireysel kullanıcılar hem de dijital varlıklarla ilgilenen kurumsal kuruluşlardan daha yüksek dikkat gerekliliğini işaret etmektedir.

Web3 güvenliğinin daha geniş bağlamı, istikrarsız bir tabloya işaret etmektedir. 2025'in ilk çeyreğinde Web3 sektöründe 2 milyar doların üzerinde kayıp kaydedildi; bu, 2024'ün ilk çeyreğine kıyasla %96'lık bir artışa işaret etmektedir. Yalnızca erişim kontrolü istismarları bu dönemde 1,6 milyar doların üzerinde kayıptan sorumluydu. Akıllı sözleşme istismarları, 29 milyon dolar hasarla daha küçük bir oran oluştururken, SilentSiphon gibi kimlik avı ve doğrudan veri hırsızlığı yöntemlerinin yaygınlığı, genel finansal güvensizliğe önemli ölçüde katkıda bulunmaktadır.

Uzman Yorumu ve En İyi Uygulamalar

Güvenlik uzmanları, Web3 alanında güçlü siber güvenlik uygulamalarının kritik önemini vurgulamaktadır. Bireylere ve kuruluşlara, tercihen yerleşik güvenlik özelliklerine ve kanıtlanmış bir geçmişe sahip güvenilir cüzdanlar kullanmaları tavsiye edilir. En son güvenlik yamalarının uygulanmasını sağlamak için yazılımı düzenli olarak güncellemek çok önemlidir. Özel anahtarları çevrimdışı olarak donanım cihazlarında veya güvenli kağıt yedeklemelerinde saklayan soğuk cüzdanların kullanılması, siber saldırı riskini önemli ölçüde azaltmak için şiddetle tavsiye edilir. Ayrıca, özel anahtarları veya tohum ifadelerini kimseyle asla paylaşmama temel ilkesi, dijital varlık güvenliğinin temel taşı olmaya devam etmektedir. Gelişmiş güvenlik araçlarını disiplinli kullanıcı davranışıyla birleştiren bu proaktif yaklaşım, SilentSiphon gibi gelişen tehditlerle mücadele etmek ve Web3 ortamındaki varlıkları korumak için çok önemlidir.

Daha Geniş Bağlam

BlueNoroff'un SnatchCrypto gibi operasyonlar aracılığıyla Web3 ve blok zinciri sektörlerini sürekli olarak hedeflemesi, Kuzey Kore devlet destekli aktörlerinden gelen kalıcı ve gelişen bir tehdidin altını çizmektedir. Sofistike sosyal mühendislik ve çok yönlü kötü amaçlı yazılımların geliştirilmesini içeren taktikleri, finansal kazanç elde etmeye yönelik stratejik bir odaklanmayı yansıtmaktadır; bu genellikle dijital varlık alanındaki yüksek değerli kişileri ve kuruluşları hedef almaktadır. Bu tür saldırıların artan sıklığı ve karmaşıklığı, siber güvenlik savunmalarında sürekli inovasyonu ve gelecekteki saldırılara karşı korunmak için Web3 topluluğu genelinde işbirliği çabasını gerektirmektedir. Bu eğilim, merkeziyetsiz ekonomide artan finansal riskleri yansıtmakta ve onu iyi kaynaklara sahip devlet aktörleri için cazip bir hedef haline getirmektedir. Sektörün bu tür tehditlere tepkisi, uzun vadeli güvenlik duruşunu ve dayanıklılığını şekillendirmede çok önemli olacaktır.