Siber güvenlik araştırmacıları, geliştiricilerin makinelerinden kimlik doğrulama belirteçlerini, CI/CD sırlarını ve GitHub kimlik bilgilerini çalabilen 100’den fazla kötü amaçlı paket içeren, npm kayıt defterini hedef alan başka bir aktif yazılım tedarik zinciri saldırısı kampanyasını daha ortaya çıkardı.
Kampanya kod adı verildi HayaletKuzgun Koi Güvenlik tarafından. Faaliyetin, ilk paketlerin depoya yüklendiği Ağustos 2025’te başladığı değerlendiriliyor. O zamandan bu yana toplam 126 npm kütüphaneye ulaştı ve 86.000’den fazla kurulum yapıldı.
Paketlerden bazıları DevSecOps şirketi DCODX tarafından da işaretlendi.
- op-cli-installer (486 İndirilenler)
- kullanılmayan içe aktarmalar (1,350 İndirme)
- rozetkit-api-istemcisi (483 İndirilenler)
- polyfill-corejs3 (475 İndirme)
- eslint-yorumları (936 İndirilenler)
Saldırıyı öne çıkaran şey, saldırganın özel bir HTTP URL’sine işaret ederek kötü amaçlı kodu bağımlılıklarda saklaması ve npm’nin bunları güvenilmeyen bir web sitesinden almasına neden olmasıdır (bu durumda, “packages.storeartifact”)[.]com”), npmjs’nin aksine[.]com her paket kurulduğunda.
“Ve npmjs[.]Güvenlik araştırmacısı Oren Yomtov, The Hacker News ile paylaşılan bir raporda şunu belirtiyor: “Güvenlik tarayıcıları bu URL’leri getirmiyor. Bağımlılık analizi araçları bunları göz ardı eder. Bu paketler her otomatik güvenlik sistemine ‘0 Bağımlılık’ gösterir.”
Daha endişe verici bir şekilde, URL’nin saldırgan tarafından kontrol edilmesi, kötü aktör tarafından yüklerini uyarlamak ve her türlü kötü amaçlı yazılımı sunmak için kötüye kullanılabileceği ve paket daha geniş çapta benimsendikten sonra bağımlılığın kötü amaçlı bir sürümünü göndermeden önce başlangıçta tamamen zararsız kod sunarak onu daha gizli hale getirebileceği anlamına gelir.
Saldırı zinciri, geliştiricinin “iyi huylu” paketlerden birini kurmasıyla başlar ve bu da, harici sunucudan uzaktan dinamik bağımlılığın (RDD) alınmasına yol açar. Kötü amaçlı paket, ana yükün yürütülmesini tetikleyen bir ön yükleme kancasıyla birlikte gelir.
Kötü amaçlı yazılım, geliştirici ortamını e-posta adresleri için taramak, CI/CD ortamı hakkında bilgi toplamak, genel IP adresi de dahil olmak üzere sistem parmak izini toplamak ve sonuçları uzak bir sunucuya sızdırmak üzere tasarlanmıştır.
Koi Security, paket adlarının seçiminin rastgele olmadığını ve tehdit aktörünün, bu paketleri kaydetmek için büyük dil modellerinin (LLM’ler) var olmayan ancak kulağa makul gelen paket adlarını halüsinasyona uğrattığı slopsquatting adı verilen bir olgudan yararlanmaya başvurduğunu söyledi.
“PhantomRaven saldırganların ne kadar karmaşık hale geldiğini gösteriyor [better] Yomtov, “geleneksel güvenlik araçlarının kör noktalarından yararlanma konusunda çok başarılılar” dedi. “Uzaktan Dinamik Bağımlılıklar statik analizde görülemez. Yapay zeka halüsinasyonları, geliştiricilerin güvendiği, akla yatkın görünen paket adları oluşturur. Ve yaşam döngüsü komut dosyaları herhangi bir kullanıcı etkileşimi olmadan otomatik olarak yürütülür.”
Bu gelişme, tehdit aktörlerinin açık kaynaklı ekosistemlerde kötü amaçlı kodları gizlemek ve radarın altından geçmek için nasıl yeni yollar bulduklarını bir kez daha gösteriyor.
DCODX, “Npm ekosistemi paketler için kolay yayınlamaya ve düşük sürtünmeye olanak tanıyor” dedi. “Yaşam döngüsü komut dosyaları (ön kurulum, kurulum, kurulum sonrası), genellikle geliştiricinin haberi olmadan kurulum sırasında rastgele kod çalıştırır.”