7 Kasım’da güvenlik araştırmacıları, halihazırda 206.000’den fazla kez indirilmiş olan “@acitons/artifact” adlı tehlikeli, kötü amaçlı bir npm paketi keşfetti.
Paket, GitHub Actions ile araç geliştiren geliştiricilerin kullandığı meşru “@actions/artifact” paketine benzeyecek şekilde tasarlandı.
Bu, saldırganların ismin ilk bakışta doğru görünmesini sağlamak için harfleri değiştirdiği klasik bir yazım hatası saldırısıydı.
Kötü amaçlı yazılımın hedefi açık ve odaklanmıştı. Bu paket GitHub’a ait depolarda bir derleme işlemi sırasında kurulduğunda, derleme ortamında bulunan kimlik doğrulama belirteçlerini çalıyordu.
Saldırganlar bu belirteçlerle doğrudan GitHub’un kendi hesabından yeni kötü amaçlı kod yayınlayabilir ve bu da tüm platformun güvenliği için ciddi bir tehdit oluşturabilir.
Saldırı, pakete yerleştirilmiş gizli bir yükleme komut dosyası aracılığıyla gerçekleştirildi. Özellikle, kötü amaçlı paketin altı sürümü, gizli kötü amaçlı yazılım kodunu otomatik olarak indirip çalıştıran bir yükleme sonrası kanca içeriyordu.
Veracode güvenlik analistleri, bu kötü amaçlı yazılımın ilk keşfedildiğinde yaygın olarak kullanılan antivirüs yazılımı tarafından tespit edilmediğini ve bunun da bu koruma araçlarına güvenen kuruluşlar için özellikle tehlikeli olduğunu belirledi.
Bu kampanya, yazılım tedarik zincirindeki kritik bir güvenlik açığını vurguluyor ve bu nedenle OWASP Top 10 2025 listesinde üçüncü en önemli güvenlik sorunu olarak yer alıyor.
Saldırı GitHub’un sürekli entegrasyonunu ve sürekli dağıtım platformunu hedef alarak suçluların geliştiricilerin her gün güvendiği araçlara nasıl giderek daha fazla odaklandığını gösterdi.
Veracode güvenlik araştırmacıları, kötü amaçlı yazılımın gerçek davranışını gizlemek ve otomatik tespitten kaçınmak için akıllı teknikler kullandığını belirtti.
Kötü amaçlı kod
Kötü amaçlı kod, kabuk komut dosyalarını ikili dosyalara dönüştüren ve analiz edilmesini zorlaştıran özel araçlar kullanılarak gizlendi ve derlendi.
Paket, belirli bir tarihten sonra çalışmayı durduracak özel bir mekanizma içeriyordu ve her sürüm, yayınlandıktan sonraki günler içinde sona erecek şekilde ayarlandı.
Bu zamana dayalı tetikleyici, saldırganların güvenlik sistemlerinden gizlenirken kodlarının farklı sürümlerini test ettiklerini gösteriyor.
Enfeksiyon mekanizması aşamalar halinde çalıştı. Kötü amaçlı yazılım yüklendiğinde, çalışma şeklini değiştirmek için kendi ortam değişkenlerini sıfırlayan bir bash betiği olarak yürütülür.
Bu, bir Node paketinin içine gizlenmiş “verify.js” adlı karmaşık bir dosyanın yüklenmesini tetikledi. Verify.js dosyası, yalnızca kod GitHub Eylemleri içinde çalıştırıldığında mevcut olan belirli GitHub ortam değişkenlerine yönelik kontroller içeriyordu.
Kod özellikle yalnızca GitHub kuruluşunun sahip olduğu depoları hedef alıyordu ve bunun hassas bir saldırı olduğunu doğruluyordu.
Kötü amaçlı yazılım, harici bir sunucudan bir şifreleme anahtarı elde etti, çalınan jetonları şifreledi ve ardından bu şifrelenmiş verileri bir komuta ve kontrol sunucusuna gönderdi.
Veracode’un Paket Güvenlik Duvarını kullanan geliştiriciler, keşiften hemen sonra bu tehdide karşı korundu, ancak olay, paket yöneticilerinin bu karmaşık tedarik zinciri saldırılarına karşı ne kadar savunmasız kaldığını gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
