Socket’in tehdit araştırma ekibi olan bir dizi kötü amaçlı NPM paketi, JavaScript ekosisteminde iki yıldan fazla bir süredir gizlenerek 6.200’den fazla indirme topladı.
React, Vue.js, Vite, Node.js ve Quill Editor gibi popüler çerçeveleri hedefleyen bu silahlandırılmış paketler, NPM takma adı “Xuxingfeng” (E -posta 1634389031@qq ile bağlantılı bir tehdit oyuncusu tarafından hazırlandı.[.]com).
xuxingfengMeşru eklentiler ve yardımcı programlar olarak gizlenmiş olarak, verileri bozmayı, kritik dosyaları silmeyi ve sistem kapatmalarını tetiklemeyi amaçlayan yıkıcı yükler taşırlar.
.png
)
Endişe verici bir şekilde, bu paketler, onları kaldırma çabalarına rağmen NPM kayıt defterinde aktif olarak kalır ve dünya çapında geliştiriciler ve kuruluşlar için devam eden bir risk oluşturur.
Kötü amaçlı yazılım kampanyası iki yıl sonra ortaya çıkarıldı
Soket raporuna göre, bu kampanyanın karmaşıklığı stratejik aldatmacası ve çok vektör saldırı yaklaşımında yatmaktadır.
Saldırgan, “Vite-Plugin-React-Excend” (Mimicking @ViteJS/Eklenti-İn-React) ve “Quill-image eklentisini yansıtmak), geliştiricilerin güven ve otomatik tam araçlara güvenmek için“ Vite-Plugin-React-Excend ”(taklit @vitejs/eklenti-reaks) ve“ Quill-image eklentilerini yansıtma) gibi paketler oluşturdu.
Tehdit oyuncusu, aynı takma adın altında, kötü niyetli olmayan paketleri de yayınlayarak, zararlı olanları şüphelenmek zorlaştırarak bir güvenilirlik cephesi oluşturdu.
2025 yılında haftalık 28 milyondan fazla indirme ile Vite gibi yüksek değerli araçları hedeflemek bu paketler, maksimum hasar sağlayarak gerçek dünya uygulamalarına, CI/CD boru hatlarına ve üretim ortamlarına sızmak için tasarlanmıştır.
Yükler, rastgele verileri döndürerek, rastgele verileri döndürerek “vite-plug-bomba” nda agresif dosya silinmesi için “JS-hood” gibi paketlerdeki ince veri bozulmasından, rastgele verileri döndüren “Vite-plug-bomba” nda agresif dosya silinmesine göre değişir.
“Quill-Image-Downloader” gibi diğerleri, yerel sektör, seansstorage ve çerezler gibi tarayıcı depolama mekanizmalarını bozarak, anında algılamadan kaçarken kimlik doğrulama jetonlarını ve kullanıcı verilerini bozarak gelişmiş istemci tarafı saldırılarını yürütür.
Saldırılar JavaScript ekosistemini tehdit ediyor
Bu kampanyayı özellikle sinsi yapan şey, teknik tasarımı ve gizleme taktikleridir.
Birçok paket, zamanlanmış aktivasyon kullanır, belirli tarihlerde yıkıcı davranışı tetikler (bazıları Haziran 2023 gibi, diğerleri 2024’e uzanır), 1 saniye ila 10 dakikalık randomize yürütme aralıklarını kullanır.
Minifiye kod ve TRY/Catch blokları yoluyla sağlam hata işleme kötü niyetli niyetlerini daha da gizler.
Dinamik yol çözünürlüğü, “JS-bomb” gibi bazıları, Linux tarzı “RM -rf” komutlarının Windows yollarında başarısız olduğunu ve dosya silme etkilerini sistem kapatmalarıyla sınırlandıran kusurları ortaya çıkarsa da, saldırıların kurulum konumundan bağımsız olarak başarılı olmasını sağlar.
Bu tür boşluklara rağmen, belirli aşamaların, özellikle “JS-bomb” ve “Vue-plugin-bomba” da, son saldırı aşamaları için bitiş tarihi olmayan kalıcı doğası, 2025’te sistem kapanmalarını sadece 5-ortada bir uyarı ile zorlayabilen canlı bir tehdit olarak kaldıkları anlamına geliyor.
Kuruluşlar bağımlılıkları denetlemeye, güvenilir kaynaklardan geri yüklemeye, kimlik bilgilerini döndürmeye ve bu tür tedarik zinciri risklerini gerçek zamanlı olarak algılamak için Socket’in AI tarayıcısı gibi araçlardan yararlanmaya çağırılır.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| Kötü niyetli paketler | JS-bomb, JS-Hood, Vite-plugin-bomba uzatma, Vite-plugin-bomba, Vite-plugin-reakt-extend, Vite-plugin-vue-extent, vue-plugin-bomb, Quill-image-downloader |
| Tehdit Oyuncu Tanımlayıcıları | NPM takma adı: Xuxingfeng NPM Kayıt E -postası: 1634389031@QQ[.]com |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!