3. taraf risk yönetimi, kripto para sahtekarlığı, sahtekarlık yönetimi ve siber suç
Saldırgan, kimlik avı e -postasıyla sosyal olarak tasarlanmış geliştirici
Akhabokan Akan (Athokan_akhsha), David Perera (@Daveperera) •
9 Eylül 2025
Bir bilgisayar korsanı, geliştiriciyi JavaScript çalışma zamanı ortamına kimlik bilgilerini bırakması için sosyal olarak tasarladıktan sonra, kripto para çalma kötü amaçlı yazılım çalan 18 popüler NPM paketini bağladı.
Ayrıca bakınız: Üçüncü taraf risk yönetiminde ortaya çıkan tehditlerin izlenmesi ve azaltılması
Aikido Security, Pazartesi günü 18 yazılım paketinin toplu olarak her hafta iki milyardan fazla indirme yaptığını söyledi. Günün kötü niyetli kodunun tarayıcıdaki kripto ve Web3 etkinliğini engelleyen paketlere itildiğini fark etti.
“Merhaba, evet, herkese üzgünüm, çok utanç verici,” diye yazdı geliştirici John Junon. Bir kimlik avı e -postası aldı npmjs.help İkinci faktör kimlik doğrulamasını güncellemesini söyleyen. Bu alan – yazım hatası bir versiyonu npmjs.com – 5 Eylül’de kaydedildi.
Aikido, geliştirici, NPM yöneticileri hesabını askıya almak için adım atmadan önce tehlikeye atılan paketlerin çoğunu silmeyi başardı. Junon Pazartesi gecesi geç saatlerde hesabının geri yüklendiğini ve “paketlerimin normale dönmesi gerektiğini” söyledi. Ayrıca polisin olay hakkında onunla temasa geçtiğini de belirtti.
Olayla ilişkili gerçek kripto hırsızlığı mütevazı olmuştur. Aikido Security Lider kötü amaçlı yazılım araştırmacısı Charlie Eriksen bir e-postada, “Saldırgan kontrollü cüzdanlara yaklaşık 970 dolar çalınan fonları takip ediyoruz.” “Finansal etki şaşırtıcı bir şekilde sınırlandı.”*
Eriksen, kötü niyetli paketlerin çevrimdışı alınmadan önce 2.6 milyon kez indirildiğini gösteren “görülen sayılar” olduğunu söyledi. Junon’un kötü niyetli paketleri silme eylemleri “şüphesiz çok fazla potansiyel yayılmayı engelledi. Büyük övgü hak ediyor” dedi.
Kötü amaçlı güncellemeler, kötü amaçlı yazılımları tarayıcılara gömme konusunda gizlenmiş kod içerir. Kötü amaçlı yazılım, getirme yoluyla ağ isteklerine bağlanır ve XMLHttpRequest ve kullanıcılar işlemleri incelemeden veya onaylamadan önce saldırganların ödeme verilerini değiştirmesine izin veren ortak cüzdan arayüzleri.
Etkin olduktan sonra, kötü amaçlı yazılım, Ethereum, Bitcoin, Solana, Tron, Litecoin ve Bitcoin Cash’e bağlı cüzdan adresleri için ağları tarar ve daha sonra fonları yönlendirmek için saldırgan kontrollü adresler için bunları değiştirir.
Aikido kampanyayı özellikle tehlikeli olarak adlandırdı çünkü “birden fazla katmanda çalışıyor”. Bu etkinlikler, web sitelerine, API çağrılarını ve kullanıcı uygulamalarını aynı anda kurcalamayı içerir.
NPM deposu, güvenilir paketleri enfekte ederek veya popüler indirmeleri taklit eden kötü amaçlı paketleri yükleyerek, tedarik zinciri hack’lerini yürüten bilgisayar korsanları için ortak bir hedeftir (bkz: bkz: NPM deposunda aktif keşif kampanyası).
Eriksen, tüm güncellemelerin GitHub veya GitLab’dan gelmesi için hesapları yapılandırarak NPM güvenliğinin geliştirilebileceğini söyledi. “Bu, kaynak depolarının sağladığı tüm normal iş akışlarını ve kontrollerini gerektirir – birden fazla kişinin ana dalda birleştirilmeden önce bir çekme talebini gözden geçirmesini ve yeni bir sürümün yayınlanmasına neden olmasını gerektirir.”
Microsoft’un baş teknik uzmanı Paul Lizer, Pazartesi Rapid Serbest Bırakma Döngüleri ve otomasyon, “Kötü niyetli kodların, genellikle tek bir insanı incelemeden birkaç dakika içinde üretime gönderilebileceğini” söyledi.
Sürükleyici’deki ana uygulama güvenliği olan Chris Wood, saldırı nispeten sofistike görünmese de, “büyük ölçekli kurumsal ihlaller için bir fırlatma rampası” olarak hizmet edebileceğini söyledi.
Wood, “Bu, geliştiricilerin depolardan çekilen kodun güvenli olduğunu varsaydıkları açık kaynaktaki kritik bir zayıflığı vurgular.” “Bakımcılar tehlikeye girdiğinde, tüm ekosistem risk altındadır.”
Geliştiricilerin, savunmasız paketleri kullanarak potansiyel ihlallerden kaçınmak konusunda bir “güven ancak doğrulama” yaklaşımını benimsemeleri gerekiyor. Wood, “Kamu NPM kayıt defterine güvenmek yerine, ekipler geliştirme ortamına girmeden önce paketlerin taranabileceği ve incelenebileceği güvenilir bir dahili depo kullanmalıdır.”
*Güncellendi 9 Eylül 2025 18:17 UTC: Aikidos Security’nin Charlie Eriksen’den yorum ekliyor.