Açık kaynak topluluğu için endişe verici bir gelişmede, Socket’in tehdit araştırma ekibi tarafından yakın zamanda npm kullanıcılarını hedef alan karmaşık bir saldırı ortaya çıkarıldı.
“Sanchezjosephine180” olarak tanımlanan tehdit aktörü, popüler kütüphaneleri yazım hatası yoluyla taklit etmek için tasarlanmış altı kötü amaçlı npm paketi yayınladı.
Kötü amaçlı paketler şunlardır: –
- babelcl
- boğucu
- yayın akışı
- sss2h
- npmrunnall
- düğüm-pyt
Bu kötü amaçlı paketler, “babel-cli”, “chokidar”, “streamsearch”, “ssh2”, “npm-run-all” ve “node-pty” gibi yaygın olarak kullanılan kitaplıkların kimliğine bürünüyor.
Socket’deki araştırmacılar, tüm bu meşru kitaplıkların toplu olarak on milyonlarca indirme sayısına sahip olduğunu ve bu kitapların istismar için birincil hedef haline geldiğini gözlemledi.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Saldırı Vektörü
Saldırganın stratejisi, yaygın yazım hatalarından yararlanmayı ve kötü amaçlı kod dağıtmak için kurulum sonrası komut dosyasını kötüye kullanmayı içerir.
Kurulumun ardından komut dosyası, node app.js’yi çalıştırır ve ardından yasal paketi yükleyerek gerçek niyetini akıllıca maskeler.
Kötü amaçlı paketler Linux sistemlerine bir SSH arka kapısı enjekte ederek tehdit aktörüne yetkisiz erişim sağlıyor.
Keşfedildiği sırada bu paketler zaten 700’den fazla indirilmişti ve geliştiriciler ve kuruluşlar için önemli bir risk oluşturuyordu.
Yetkisiz SSH erişiminin ciddi sonuçları olabilir: –
- Tespit edilemeyen sistem sızıntısı
- Güvenlik önlemlerinin atlanması
- Ağ çapında uzlaşma
- Casusluk ve veri hırsızlığı potansiyeli
- Fidye yazılımı saldırılarına karşı ağ geçidi
İlginç bir şekilde “parimiko” isimli yedinci bir paket de tespit edildi. Şu anda zararsız olmasına rağmen, popüler Python SSH kitaplığı “paramiko”yu taklit ediyor ve potansiyel olarak gelecekteki kötü amaçlı güncellemelere zemin hazırlıyor.
Bu tür tehditlere karşı korunmak için geliştiriciler ve kuruluşlar şunları yapmalıdır: –
- Kurulumdan önce paket adlarını bir kez daha kontrol edin
- Sıkı sürüm kontrolü uygulayın
- Bağımlılıkları düzenli olarak denetleyin
- Socket’in GitHub uygulaması ve CLI aracı gibi güvenlik araçlarını kullanın
Bu önlemler, kötü amaçlı paketlerin projelere sızmasını ve sistemleri tehlikeye atmasını tespit etmeye ve önlemeye yardımcı olabilir. Açık kaynak ekosistemi büyümeye devam ettikçe potansiyel saldırı yüzeyi de artıyor.
Ancak güvenlik analistleri, geliştirici topluluğunun, projelerinin bütünlüğünü ve daha geniş açık kaynak ortamını korumak için güvenlik önlemlerini alma ve ortaya çıkan tehditler hakkında bilgi sahibi olma konusunda proaktif kalması gerektiğini vurguladı.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.