Socket’in Tehdit Araştırma Ekibi, toplamda 26.000’den fazla indirilen 175 kötü amaçlı npm paketini içeren karmaşık bir kimlik avı kampanyasını ortaya çıkardı.
Tüm paketlerdeki tutarlı yapılara dayanan “Beamglea” olarak adlandırılan kampanya, dünya çapında 135’ten fazla sanayi, teknoloji ve enerji şirketini hedef alan yönlendirme komut dosyalarını barındırmak için npm’nin kamu kayıt defterinin ve unpkg.com CDN’sinin yeni bir suiistimalini temsil ediyor.
Paketlerin kendisi kurulum sırasında kötü amaçlı kod çalıştırmaz, bu da onları kimlik bilgisi toplama işlemleri için ücretsiz barındırma altyapısı olarak npm ekosisteminden yararlandıkları için özellikle sinsi hale getirir.
.webp)
Paketlerin rastgele isimleri desen yönlendirmesini takip ederken[a-z0-9]{6} geliştiricinin kazara kurulumunu olası kılmadığından, önemli indirme sayılarına muhtemelen güvenlik araştırmacıları, otomatik tarayıcılar ve ifşa edildikten sonra paketleri analiz eden CDN altyapısı dahildir.
Tehdit aktörleri, tüm kampanyayı otomatikleştirmek için kapsamlı Python araçları geliştirerek, satın alma siparişleri ve proje belgeleri temalı kurbanlara özel HTML kimlik avı tuzakları oluşturmalarına olanak sağladı.
“Beamglea”nın kökeni ve anlamı belirsizliğini koruyor ancak saldırganlar tarafından kullanılan bir kod adını veya içeriden yapılan bir referansı temsil ediyor olabilir.
Socket.dev analistleri, kimlik avı altyapısını ilk kez 24 Eylül 2025’te keşfeden Safety’den Paul McCarty’nin ilk bulgularına dayanarak, kampanyayı rutin tarama operasyonlarının bir parçası olarak tanımladılar.
Araştırmacılar, bu kampanyayla ilişkili paketlerin çoğunun bu yazının yazıldığı sırada yayında olduğunu ve bu durumun, tehdit aktörlerinin hesaplarının askıya alınmasının yanı sıra NPM kayıt defterinden kaldırılması için derhal dilekçe verilmesine yol açtığını belirtti.
Kampanya, teknik uygulamasında dikkate değer bir karmaşıklık sergiliyor ve tedarik zincirini kötüye kullanma tekniklerinde endişe verici bir evrimi temsil ediyor.
Bu açıklamadan önce, “beamglea” teriminin neredeyse hiç çevrimiçi varlığı yoktu, bu da onu birden fazla kritik altyapı sektöründeki kuruluşları hedefleyen bu özel operasyon için etkili bir izleme tanımlayıcısı haline getiriyordu.
Otomatik Paket Oluşturma Altyapısı
Tehdit aktörleri, dağıtım kolaylığı için yönlendirme_generator.py komut dosyalarını ve PyInstaller tarafından derlenen yürütülebilir dosyaları kullanarak operasyonlarını kolaylaştırmak için gelişmiş Python otomasyonu geliştirdi.
Otomasyon süreci, profesyonel düzeyde operasyonel güvenlik planlaması ve sistematik kurban hedefleme yeteneklerini gösterir.
Temel otomasyon üç girdi alır: Beamglea_template.js adlı bir JavaScript şablon dosyası, kurbanın e-posta adresi ve hedef kimlik avı URL’si.
Sistem daha sonra bu bileşenleri, npm kimlik doğrulama doğrulamasıyla başlayan ve şablon işleme, paket oluşturma, yayınlama ve HTML yem oluşturma yoluyla ilerleyen beş adımlı bir iş akışı aracılığıyla işler.
Rastgele paket adı oluşturma işlevi, küçük harflerden ve rakamlardan oluşan altı karakterlik bir son ek kullanarak benzersiz tanımlayıcılar oluşturur ve tanınabilir yönlendirme öneki modelini takip ederken her kampanyanın farklı kalmasını sağlar.
Her pakette yerleşik olan JavaScript verisi son derece basit ama etkili olmaya devam ediyor. Herbeamglea.js dosyası, kurbanın e-postasını bir URL parçası olarak ekleyen, parçaların # sembolünden sonra göründüğü ve standart sunucu erişim günlüklerinde görünmediği gerçeğinden yararlanan bir prosesAndRedirect() işlevi içerir.
Bu teknik, kimlik avı sayfaları oturum açma formlarını kurbanın e-posta adresiyle önceden doldurduğunda meşru bir görünüm yaratır.
def generate_random_package_name(prefix="redirect-"):
# Generates random 6-character suffix
suffix = ''.join(random.choices(string.ascii_lowercase + string. Digits, k=6))
return prefix + suffix
# Template processing replaces placeholders with victim-specific data
template_js = load_template('beamglea_template.js')
final_js = template_js.replace("{{EMAIL}}", email).replace("{{URL}}", redirect_url)
with open("beamglea.js", "w", encoding="utf-8") as f:
f.write(final_js)Otomasyon, meşru satın alma siparişlerini, teknik spesifikasyonları ve proje belgelerini taklit eden dosya adlarını kullanarak şüpheleri ortadan kaldırmak için tasarlanmış belirli iş belgesi temalarına sahip HTML cazibesi oluşturur.
Tüm HTML dosyalarının meta etiketlerinde kampanya tanımlayıcısı nb830r6x bulunur ve bu, 175 pakete dağıtılmış 630’dan fazla oluşturulmuş yem arasında tutarlı izleme sağlar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
