Yazar:
Upwork’ten iş alan bir web geliştiricisi, iş veren tarafından saldırıya uğradı. Dolandırıcı, işe aldığı web geliştiricisine kötü niyetli yazılım içeren JS paketleri gönderdi.
Türk yazılım geliştiricisi Murat Çeliktepe’nin MetaMask cüzdanındaki 500 dolar değerindeki kripto paralar, iş veren kişi tarafından çalındı. Murat Çeliktepe bu konudaki olumsuz deneyimini kripto para topluluğuyla paylaştı. Saldırganın başlangıçta Murat Çeliktepe ile LinkedIn üzerinden iletişime geçmeye çalışması dikkat çekiyor.
Türk Yazılım Geliştiricisi Dolandırıcılara Hedef Oldu
Upwork’teki bir iş veren, Murat Çeliktepe’ye her ikisi de bir GitHub deposunda barındırılan “web3_nextjs” ve “web3_nextjs_backend” adlı iki npm paketinden kodları indirmesi ve hatalarını ayıklaması talimatını verdi. Murat Çeliktepe bu işlemin ardından MetaMask hesabının saldırıya uğradığını ve içerisindeki 500 doları aşkın değerdeki fonların çalındığını farketti.
Upwork’teki söz konusu iş ilanı, web geliştiricilerinden “web sitesindeki hataları ve yanıt verebilirliği [sic] düzeltmelerini” talep ediyor. Saldırgan bunun karşılığında geliştiricilere saatlik 15 ile 20 dolar arasında ödeme yapmayı vadediyor.
LinkedIn profilinde “#OpenToWork” etiketi yer alan Murat Çeliktepe, iş teklifini kabul ederek, dolandırıcı iş verenin teknik mülakatının bir parçası olarak sağladığı GitHub depolarını indirdi.
Bu tür teknik mülakatlarda iş veren genellikle işe almak istediği kişinin kod yazma ve hata ayıklama gibi yeteneklerini test ediyor. Bu durum, geliştiriciler gibi teknik uzmanlığa sahip kişiler için iş tekliflerini çok daha ikna edici kılıyor.
Topluluk Saldırının Gizemini Çözmek İçin Harekete Geçti
Yaşadığı talihsiz deneyimi sosyal medya hesabından paylaşan Murat Çeliktepe, saldırının nasıl gerçekleştirildiğini anlamak için topluluktan yardım talep etti. Topluluk üyeleri GitHub depolarındaki kodları incelemelerine rağmen saldırının nasıl gerçekleştirildiği konusunda emin olamadı. Dolayısıyla iş verenin, paylaştığı kötü niyetli yazılım içeren JS paketleri aracılığıyla Çeliktepe’nin MetaMask cüzdanını nasıl ele geçirdiğini belirleyemedi.
Murat Çeliktepe’nin paylaşımının altına topluluk üyelerinin yanı sıra dolandırıcılık odaklı Twitter (X) botları da yorum yaptı. Bu dolandırıcılık odaklı botlar, sahte MetaMask destek hesapları, Gmail adresleri ve Google formları aracılığıyla Murat Çeliktepe’yi tuzağa düşürmeyi hedefleyen bağlantılar ekledi.
Kripto para topluluğundan bazı isimler, saldırganın gönderdiği npm projelerinin, Murat Çeliktepe’ye bilgisayarındaki güvenlik açıklarını açığa çıkarmasına izin vermiş olabileceğini öne sürüyor.
Kripto para topluluğu tarafından ortaya atılan diğer teoriler arasında saldırganın, Çeliktepe’nin bilgisayarına kötü amaçlı yazılım bulaştırmak yerine, dolandırıcılık odaklı npm projesinin otomatik doldurma özelliği etkinleştirilmiş bir web tarayıcısından şifreleri kopyalamış olabileceği iddiası yer alıyor.
Bununla birlikte bazıları ise Murat Çeliktepe’nin teknik mülakat sırasında gönüllü olarak çalıştırdığı kodların ağ trafiğini ele geçirdiğini öner sürüyor.
