Ekim 2025’te güvenlik araştırmacıları, paket kurulumu sırasında geliştiricilere bulaşarak değil, unpkg.com CDN’sini kötü amaçlı JavaScript için tek kullanımlık bir barındırma platformu olarak kötüye kullanarak npm ekosistemini silah haline getiren benzeri görülmemiş bir kimlik avı kampanyasını ortaya çıkardı.
Saldırganlar, 175’ten fazla tek kullanımlık npm paketini tohumlayarak, güvenilir bir açık kaynak dağıtım ağını Avrupa’nın sanayi, teknoloji ve enerji sektörlerindeki kurumsal çalışanları hedef alan büyük ölçekli bir kimlik avı altyapısına dönüştürdü.
Rakipler, popüler modüllere kötü amaçlı yazılım yerleştirmek yerine, modelle eşleşen yüzlerce geçici paket oluşturdu redirect-[a-z0-9]{6}.
Her paket, adında minimum bir JavaScript dosyası içerir. beamglea.js ve hazırlanmış HTML “iş belgesi” cazibesi. Bir kurban bu HTML dosyalarından birini tarayıcıda açtığında, kötü amaçlı komut dosyasını aşağıdaki gibi bir etiket aracılığıyla doğrudan unpkg.com’dan otomatik olarak yükler:
xml
Yüklenen komut dosyası, kullanıcıyı hemen bir kimlik bilgisi toplama sitesine yönlendirir. Kimlik avının etkinliğini artırmak için, URL parçası kurbanın e-posta adresini ileterek formun önceden doldurulmuş görünmesini sağlar ve sunucu günlüklerinden kaçarken güçlü bir güven işareti sağlar.
Kampanya Yürütme
Bu altyapının ilk halka açık izleri 24 Eylül 2025'te ortaya çıktı. 9 Ekim'de Socket, 135'ten fazla kuruluşu etkileyen "Beamglea" kod adı altında 175 kötü amaçlı paketi açığa çıkardı.
10 Ekim'de Snyk tarafından yapılan bir takip analizi, aşağıdakileri kullanarak ilgili bir kümeyi ortaya çıkardı: mad-x.x.x.x.x.x Aynı tehdit aktörü tarafından taklit bir operasyon veya paralel araştırma yapılmasına işaret eden bir adlandırma.
"Çılgın" paketler, sahte bir "Cloudflare Güvenlik Kontrolü" sayfası görünümüne bürünerek daha geniş bir kitleyi hedefliyor. Kullanıcı "Ben robot değilim" kutusunu işaretlediğinde, saldırganın yük URL'sini içeren GitHub tarafından barındırılan uzak bir dosya getirilmeden önce anti-devtools mantığı ve çerçeve bozma teknikleri çalıştırılır.
Temel özellikler arasında sağ tıklamayı devre dışı bırakma, F12'yi ve ortak inceleme kısayollarını engelleme ve geliştirici araçları algılanırsa sayfayı boşaltma yer alır.
Başarılı doğrulamanın ardından komut dosyası, GitHub dosyasındaki URL'yi okur ve ana pencereyi kimlik avı sayfasına yönlendirir.
javascriptdocument.querySelector('.checkbox-container').addEventListener('change', function() {
if (!this.checked) return;
// Simulate verification delay
setTimeout(() => {
const urlFile="https://raw.githubusercontent.com/.../mad4.txt";
fetch(urlFile, { method: 'GET', cache: 'no-store' })
.then(res => res.text())
.then(text => {
const target = text.trim();
if (!/^https?:\/\//i.test(target)) return;
try {
window.top.location.href = target;
} catch (e) {
window.location.href = target;
}
});
}, 1000 + Math.random() * 1000);
});
Azaltmalar
Bu kampanya paket yükleme süreçlerinden taviz vermese de açık kaynak yazılım tedarik zincirinde genişleyen tehdit ortamını vurguluyor. Kuruluşlar:
- Unpkg.com aracılığıyla yapılan harici komut dosyası yüklemelerini, özellikle e-postayla gönderilen HTML dosyalarına gömülü olanları yüksek riskli olarak değerlendirin.
- Unpkg.com'a başvuran HTML eklerini kaldırmak veya karantinaya almak için e-posta ağ geçidi filtreleri uygulayın.
- Çalışanlarınızı güvenilir CDN'lerden ve önceden doldurulmuş kimlik bilgisi formlarından yararlanan kimlik avı taktikleri konusunda eğitin.
- Eşleşen kalıplar için giden web isteklerini izleyin
redirect-*Vemad-*adlandırma kuralları - Tek kullanımlık paketleri uygun ölçekte işaretlemek ve kaldırmak için npm kayıt defteri yöneticileri ve CDN operatörleriyle işbirliği yapın.
Saldırganlar açık kaynak altyapısını silahlandırmak için yeni yöntemler araştırmaya devam ederken, savunmacılar da tedarik zinciri dikkatliliğini kurulum tabanlı tehditlerin ötesine taşımalı ve yazılım teslimi ve tüketim yaşam döngüsünün her adımını güvence altına almalıdır.
Anında Güncellemeler Almak ve GBH'yi Google'da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X'te takip edin.