Sofistike bir tedarik zinciri saldırısı, bir milyondan fazla kombine haftalık indirme ile 16 popüler React ana paketini tehlikeye attı ve devam eden NPM ekosistem tehditlerinde önemli bir yükseliş işaret etti.
6 Haziran 2025’te başlayan saldırı, React Native ARIA ekosistemi ve Gluestack çerçevesi içinde sistematik olarak geri yüklenen paketler, kalıcı sistem kontrolü ve veri eksfiltrasyon yetenekleri oluşturabilen ileri uzaktan erişim truva atlarını (sıçanlar) dağıttı.
Saldırı, @React-Native-Aria/Focus’un 0.2.10 sürümünün yayınlandığı 6 Haziran’da 21: 33’te GMT’de başladı ve bir gecede koordineli bir saldırı haline gelen ilk uzlaşmayı işaretledi.
.png
)
.webp)
Bu ilk paket, 18 Ekim 2023’ten beri güncellenmemiş ve bu da ani sürüm sürümünü güvenlik izleme sistemlerinden özellikle şüpheli hale getirmiştir.
Saldırganlar, Lib/CommonJS/index.js dosyasındaki kötü amaçlı kodu gizlemek için sofistike beyaz alan tabanlı gizleme teknikleri kullandılar ve gerçek yükü kelime ambalaj özellikleri olmadan standart kod editörlerindeki gerçek yükü dışarıya doğru itti.
İlk uzlaşmanın ardından, tehdit aktörleri gece boyunca ve ertesi gün için ek paketleri sistematik olarak hedefledi, @reakt-native-aria/kullanımlar, @reakt-native-aria/kaplamalar, @reakt-native-aria/etkileşimleri gibi popüler kütüphanelerden ödün verdiler ve sonuçta erişimlerini @gluestack-ui/kullanımlarına genişletti.
Aikido analistleri bunu Rand-User-Agent paketine karşı önceki saldırıların devamı olarak tanımladılar ve neredeyse aynı özelliklere sahip neredeyse aynı yük yapılarının konuşlandırılmasına dikkat çekti.
Kötü amaçlı yazılım, çift komut ve kontrol altyapısı ve gelişmiş keşif yetenekleri içeren önceki tedarik zinciri saldırılarından önemli bir evrimi temsil eder.
Saldırganlar, 16 paketin hepsinin yaklaşık 17 saat içinde uzlaşmasını tamamlayarak otomatik takımlar veya iyi koordine edilmiş bir ekip çalışması önererek dikkate değer bir kalıcılık ve koordinasyon gösterdiler.
Haftalık bir milyondan fazla indirme sunan bu paketlerin birleşik erişimi, saldırganlara React yerel geliştirme ekosisteminde eşi görülmemiş bir saldırı yüzeyi sağlar.
Gizleme ve yük dağıtım mekanizmaları
Saldırganlar, çoğu geliştirme ortamında kötü niyetli kodları görünmez hale getiren boşluk tabanlı gizlemeden başlayarak, yük sunumuna sofistike çok katmanlı bir yaklaşım kullandılar.
Seyirci index.js dosyalarının 46. satırına yerleştirilen birincil yük, zararsız beyazlık olarak görünür, ancak aşağıdaki gizlenmiş kodu içerir:-
global['_V']='8-npm13';global['r']=require; (fBu yük, kalıcılığı korumak ve iletişim kanallarını oluşturmak için küresel ad alanını kullanan kapsamlı bir sıçan dağıtımının temelini oluşturur.
Kötü amaçlı yazılım, node.js yerleşik modülleri aracılığıyla platform ayrıntıları, ana bilgisayar adı, kullanıcı adı ve sistem mimarisi dahil olmak üzere sistem bilgilerini hemen yakalar.
Saldırı, sürüm tabanlı C2 sunucu seçiminden yararlanarak gelişmiş kaçırma tekniklerini göstermektedir ve yükleme, dağıtım sürümüne dayalı birden fazla komut ve kontrol uç noktaları arasında seçim yapmak için mantık içeren mantık gösterir.
Kötü amaçlı yazılım, algılamayı önlemek için meşru Python kurulumlarını taklit ederek %localAppdata %\ phrogramlar \ python \ python3127 diziniyle Windows sistemlerinde kalıcılık oluşturur.
Buna ek olarak, sıçan, sistem meta veri koleksiyonu için SS_INFO ve harici IP numaralandırması için SS_IP gibi yeni komutlarla gelişmiş keşif yetenekleri içerir ve saldırganların kapsamlı çevre farkındalığına ve potansiyel yanal hareket hazırlığına odaklanmaktadır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği