Bilgisayar korsanları, yaygın olarak kullanılan yazılım kütüphanelerine kötü amaçlı kod enjekte etmek için npm paketlerini hedef alıyor ve kötüye kullanıyor, böylece birçok geliştiriciye ve uygulamaya ulaşıyor.
Sonatype güvenlik araştırmacıları yakın zamanda popüler AWS, Microsoft ve diğer açık kaynaklı projeleri taklit eden 250’den fazla npm paketi tespit etti.
Kendisini bir hata ödül avcısı olarak tanıtan bir Rus hacker, aktif ters kabuk ve RCE istismarları içeren bu kötü amaçlı paketleri oluşturmaktan sorumlu.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Sahte npm Paketleri
Bu gelişme, Telegram’ın kötü amaçlı paketleri satışa sunması nedeniyle siber güvenlik araştırmaları ile siber suçlar arasındaki etik gri alanla ilgili soruları gündeme getirdi.
.webp)
Bu vaka, devam eden tedarik zinciri güvenliği sorununu açığa çıkarıyor ve paket yönetiminin her zaman nasıl dikkatle ele alınması gerektiğini gösteriyor.
Sonatype araştırma ekibi Microsoft, Amazon ve diğer özgün kitaplıkları taklit eden 260 npm’lik paket buldu.
Bu paketler, gerçek paketlerin resmi olarak yayınlanmasından kısa bir süre sonra ortaya çıktı ve ters kabuk ve bağımlılık karışıklığı saldırılarına yönelik boşluklar içeriyordu.
Her ne kadar kendilerini “hata bulma testi” olarak görseler de bu paketlerin güvenlik açısından önemli sonuçları vardır.
Sonatype-2024-2066 olarak adlandırılan bu olay, tedarik zinciri güvenliğinde devam eden sorunun ve güvenlik araştırmalarının bazen npm ekosistemindeki bir dolandırıcılık eylemine ne kadar benzeyebileceğinin mükemmel bir örneğidir.
Çok sayıda npm paketi, etik hacker platformlarında varlığı olduğu görülen bir Rus hacker tarafından oluşturuldu.
Bu paketlerde bulunan kötü amaçlı kodlardan bazıları bağımlılık karıştırıcı istismarlar ve uzaktan kod yürütme yükleridir.
Yazar ise bu tür başarıları satarak kendi etik niyetleri hakkında soru işaretleri ortaya koymaktadır.
Diğer paketler, şüphelenmeyen kuruluşlara karşı başarılı saldırıları gösteriyor ve sonuç olarak, açık kaynak ekosistemleri aracılığıyla zararlı paketlerin yanlış yazılması ve yayılmasının tehlikelerine işaret ediyor.
Sonatype, npm kayıt defterinde AI ve Yüksek Lisans geliştiricilerini ve Microsoft teknolojisine bağımlı kuruluşları hedef almak üzere tasarlanmış kötü amaçlı paketler buldu.
Bu, aynı zamanda geniş tabanlı saldırılar için açık kaynaklı kayıtlardan yararlanan tehdit aktörlerinin bir modelini de gösteren benzer PyPl saldırılarını takip etti.
Düşmanca eylemlerin aksine, etik güvenlik araştırması meşru açıklama kanalları aracılığıyla yürütülür.
Bizi takip ederek en son siber güvenlik gelişmelerinden haberdar olun LinkedIn Ve X günlük güncellemeler için!