Eylül 2025’te Kandji’nin güvenlik araştırmacıları, saldırganların resmi Brew.sh sayfasını mükemmel bir şekilde taklit eden çok sayıda sahte Homebrew kurulum sitesi kurduğu karmaşık bir kampanyayı ortaya çıkardı.
Bu sahte alan adları, standart Homebrew kurulum komut dosyası kisvesi altında gizli bir kötü amaçlı yüke hizmet ediyordu. Bu açıklama, bu endişe verici eğilimin taktiklerini, altyapısını ve etkisini ayrıntılarıyla ele alıyor.
Paket yöneticileri, NPM yazım hatası ve PyPI kötü amaçlı paketlerinin manşetlere hakim olduğu yüksek profilli olaylarla son birkaç yılda tedarik zinciri uzlaşmasının favori hedefi haline geldi.
MacOS’ta en yaygın kullanılan paket yöneticisi olan Homebrew, şimdiye kadar zarar görmeden kalmıştı; ekosistemden kaynaklanan riskler fırtınasının ortasında bir istikrar vahasıydı.
“Homebrew uzlaşması” için hızlı bir web araması, NPM kullanıcılarını etkileyen Shai-Hulud paket solucanı hakkındaki makale yağmurunun aksine, yakın zamanda hiçbir olayla sonuçlanmaz. Ancak tehdit aktörleri, Homebrew web sitesinin kendisini klonlayarak doğrudan son kullanıcıları hedef alan farklı bir yaklaşıma geçerek adapte oldular.
Kandji analistleri yalnızca bir hafta içinde homebrewoneline gibi dört kötü amaçlı alan keşfetti[.]org—IP adresine çözümleme 38[.]146[.]27[.]144. Her alan, Homebrew ana sayfasının kusursuz bir karbon kopyasını sunuyordu.
Ancak gerçek siteden farklı olarak bu kopyalar, kurulum komut bloğu içindeki tüm metin seçimini ve kopyalamayı kısıtlayarak kurbanların, saldırganın enjekte ettiği komutu gizlice panoya yükleyen tek bir “Kopyala” düğmesini kullanmasını sağladı.
Saldırının Anatomisi
Sahte sitelerin kalbinde, kurulum talimatlarını kilitleyen ve kullanıcının pano içeriğinin yerine geçen yerleşik bir JavaScript pasajı bulunur.
Ziyaretçiler Kopyala düğmesini tıkladığında komut dosyası, copyInstallCommand() Meşru Homebrew kurulum satırını çalıştırmadan önce panoya gizli bir komut yazan işlev.
Eş zamanlı olarak, notify.php’ye tıklama süresi ve kullanıcı ortamı gibi meta verileri günlüğe kaydeden bir getirme isteği gönderilir. Koddaki Rusça yorumlar, base64 kodlu yükler için yer tutucuları ortaya koyuyor ve hatta Telegram gibi sızıntı uç noktaları öneriyor.
Bu modüler tasarım, saldırganın istediği zaman farklı yükleri değiştirebilmesini sağlayan emtia tarzı bir operasyona işaret ediyor.
Altyapı, tek bir enfeksiyona güvenmek yerine paralel olarak Odyssey Stealer’a da hizmet ederek kimlik bilgisi hırsızlığını kalıcı kötü amaçlı yazılım yerleştirmeyle etkili bir şekilde birleştirdi.
Hem orijinal Homebrew kurulum sayfasının hem de sahte karşılığının ekran görüntüleri, tek görsel farkı vurguluyor: manuel kopyalama işlevinin olmaması.
Ancak asıl tehlike, panodaki görünmeyen ekstra satırın, kurbanın bilgisi olmadan terminaline çekilmesidir.
Azaltmalar
Bu kampanya, macOS geliştiricileri ve yöneticileri için kritik bir dersin altını çiziyor: Tedarik zinciri güvenliği, paketlerin ötesine geçerek onları yöneten araçları da kapsar. Geliştiriciler genellikle Homebrew’u bir kez yükler ve güvenilir kaldığını varsayarlar.
Gerçekte saldırganlar, kullanıcıları siteleri klonlamaya teşvik ederek rahatlığı bir silah haline getirebilirler. Bu tür vektörlere karşı korunmak için kullanıcılar, yükleme komutlarını her zaman güvenilir kaynaklara göre doğrulamalı ve doğrulanmamış web sayfalarından kabuk parçacıkları yapıştırmaktan kaçınmalıdır.
Herhangi bir komutu çalıştırmadan önce etki alanını (brew.sh) doğrulayın ve pano içeriğini inceleyin. Kurumsal savunmalar, beklenmedik getirme çağrılarını veya kurulum sırasında tetiklenen base64 kodlu yükleri işaretleyen uç nokta izlemeyi içermelidir.
Kandji Tehdit İstihbaratı, yeni sahte alan adları bulmak için interneti taramaya devam ediyor ve Mikhail Kasimov tarafından tutulan halka açık bir depoda düzinelerce alan daha katalogluyor.
Kuruluşlar, bu IOC’leri güvenlik araçlarına entegre ederek ve son kullanıcıları güvenli kurulum uygulamaları konusunda eğiterek, ortaya çıkan bu tehdide maruz kalma durumlarını azaltabilirler. Paket yöneticisi tabanlı kötü amaçlı yazılımlar geliştikçe, hem paket kaynaklarının hem de yükleyici sitelerin doğrulanması konusunda dikkatli olunması en etkili savunma olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.