Meşru bir npm kullanıcı arayüzü bileşen kitaplığı olarak gizlenen son derece karmaşık bir bilgi hırsızı kötü amaçlı yazılım, ansi-universal-ui paketi aracılığıyla geliştiricileri hedef alıyor.
Dahili olarak “G_Wagon” olarak tanımlanan kötü amaçlı yazılım, tarayıcı kimlik bilgilerini, kripto para birimi cüzdanlarını, bulut kimlik doğrulama anahtarlarını ve virüslü sistemlerden mesajlaşma belirteçlerini çıkarmak için çok aşamalı gizleme teknikleri kullanıyor.
Paket kendisini “modern web uygulamaları için hafif, modüler bir kullanıcı arayüzü bileşen sistemi” olarak sunmasına rağmen, sıfır meşru kullanıcı arayüzü işlevselliği içeriyor.
Güvenlik araştırmacıları kötü amaçlı paketi ilk olarak 23 Ocak 2026 08:46 UTC’de tespit etti.
Bunun yerine, kendi çalışma zamanı ortamını indiren ve hassas kullanıcı verilerini tehlikeye atmak üzere tasarlanmış, oldukça karmaşık veriler yürüten Python tabanlı bir bilgi hırsızı sunar.
Saldırgan Metodolojisi
Paketin sürüm geçmişinin analizi, olağandışı düzeyde karmaşıklığı ve yinelemeli gelişimi ortaya koyuyor.
V1.2.0’da ilginç bir değişiklik yaptılar. Npm tar bağımlılığını kaldırdılar ve doğrudan sistem tar komutunu oluşturmaya geçtiler.
Tehdit aktörü, 21 Ocak ile 23 Ocak tarihleri arasında, her biri saldırı altyapısında artan iyileştirmeleri temsil eden 10 sürüm yayınladı.
İlk sürümler yalnızca yer tutucu kod testi yürütme zincirlerini içeriyordu. Aynı zamanda, daha sonraki sürümlerde adli tıp önleme özellikleri, altıgen kodlu komut ve kontrol URL’leri ve yalnızca bellek veri yükü yürütme özellikleri eklendi.
Sürüm 1.4.0, kaçınma tekniklerinde kritik bir evrime işaret ediyordu. Kötü amaçlı yazılım, Python verilerini güvenlik araçları tarafından tespit edilebilecekleri diske indirmek yerine artık uzak sunuculardan base64 kodlu kodu alıyor, kodunu bellekte çözüyor ve stdin aracılığıyla doğrudan Python yorumlayıcısına aktarıyor.
Paket, çift uygulama elde etmek için akıllı bir kendine bağımlılık hilesi kullanıyor. Kendisini package.json dosyasında bir bağımlılık olarak listeleyen postinstall kancası kurulum sırasında iki kez çalışır ve bu da başarılı bir uzlaşma olasılığını artırır. Sürüm 1.3.7, yürütme sonrasında yükü silmek için temizleme kodunu ekledi:
Tehdit aktörü ayrıca “Python ortamını ayarlama” seçeneğini “Kullanıcı arayüzü çalışma zamanını başlatma” olarak değiştirerek günlük mesajlarını da yasal görünecek şekilde temizledi.
Veri Hırsızlığı Yetenekleri
G_Wagon hırsızı çok çeşitli hassas bilgileri hedef alıyor. Hem Windows hem de macOS platformlarındaki Chrome, Edge ve Brave tarayıcılarından kimlik bilgilerini çıkarır.
Windows sistemlerinde, tarayıcı işlemlerini sonlandırır ve çerezleri toplamak için Chrome DevTools Protokolünü kullanır ve aynı zamanda kayıtlı şifrelerin şifresini Windows Veri Koruma API’sı aracılığıyla çözer.
Kripto para cüzdanı hırsızlığı birincil hedefi temsil eder. Kötü amaçlı yazılım, MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Ledger Live ve Exodus dahil 100’den fazla tarayıcı cüzdan uzantısını hedefliyor.
Ethereum, Solana, Cosmos, Polkadot, Cardano ve diğer birçok blockchain ekosistemini kapsayan cüzdanlar için tüm uzantı veri dizinlerini kopyalar.
Bulut kimlik bilgileri başka bir önemli hedef oluşturmaktadır. Hırsız, AWS CLI, Azure CLI ve Google Cloud SDK kimlik bilgileri dosyalarının yanı sıra SSH anahtarları ve Kubernetes yapılandırma dosyalarını da kopyalar.
Discord belirteçleri, Telegram veri dizinleri ve Steam kimlik doğrulama dosyaları da kapsamına girmektedir.
Çalınan veriler sıkıştırılır ve hem NYC hem de Frankfurt sunucularında barındırılan Appwrite depolama paketlerine yüklenir. Kötü amaçlı yazılım, büyük dosyalar için güvenilir aktarım sağlamak amacıyla verileri 5 MB’lık parçalara böler.
Kod, daha derin sistem erişimi için NT yerel API’leri kullanılarak tarayıcı işlemlerine eklenen yerleşik bir Windows DLL’sini bile içerir.
Etkilenen kullanıcılar derhal ansi-universal-ui’yi kaldırmalı, tarayıcıda kayıtlı tüm şifreleri döndürmeli, kripto para cüzdanı kimlik bilgilerini iptal etmeli, bulut hizmeti anahtarlarını yeniden oluşturmalı ve mesajlaşma uygulaması oturumlarını geçersiz kılmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.