NPM JavaScript paketi dizininde, yararlı yardımcı programlar olarak maskelenen ancak gerçekte tüm uygulama dizinlerini silen yıkıcı veri silecekleri olan iki kötü amaçlı paket bulunmuştur.
Veri silecek paketleri ‘Express-API-Sync’ ve ‘Sistem-Sağlık Senkronizasyonu-API’dır ve veritabanı senkronizasyonu ve sistem sağlığı izleme ttool’ları olarak poz verir.
Açık kaynaklı yazılım güvenlik firması soketine göre, her ikisi de enfekte olmuş ana bilgisayarda uzaktan veri açma işlemlerini sağlayan arka kapı içerir.
Paketler Mayıs 2025’te NPM’de yayınlandı ve Soket ile raporlarının ardından NPM’den kaldırıldı.
Firmanın tarihi istatistikleri, Express-API-Sync’in şüphesiz geliştiriciler tarafından 855 kez indirildiğini, Express-API-Sync’in 104 indirme olduğunu gösteriyor.
İlk paket, Express-api-sync, gizli bir son nokta (/api/this) kaydeder ve gizli anahtar ‘varsayılan_123’ içeren istekleri bekler.
Aldıktan sonra, uygulamanın dizininde “rm -rf *” yürütür ve tüm dosyaları siler.
“Tetiklendikten sonra, RM -RF * komutu, kaynak kodu, yapılandırma dosyaları, yüklenen varlıklar ve yerel veritabanları dahil olmak üzere tüm dosyaları silerek uygulamanın çalışma dizininde yürütülür.”
“Son nokta, saldırgana durum mesajlarını ({” Mesaj “:” “Silinen tüm dosyalar”}) veya yıkımın başarısız olduğunu gösteren durum mesajlarını döndürür. “
İkinci paket, ‘Sistem-Sağlık-Sync-api’ daha sofistike.
Birden çok arka kapı uç noktasını kaydeder:
- Get/_/System/Health → Sunucu Durumunu Döndürür
- Post/_/Sistem/Sağlık → Birincil Yıkım Uç Noktası
- Post/_/SYS/Bakım → Yedek Yıkım Uç Noktası
Bu durumda, gizli anahtar ‘Helloworld’, tetikleyici keşif ve ardından uzaktan, işletim sistemine özgü yıkımdır.
Silecek hem Linux (‘rm -rf *’) hem de Windows (‘RD /S /Q’) silme komutlarını destekler, bu nedenle tespit edilen mimariye bağlı olarak doğru olanı kullanır.
Kaynak: soket
Eylem tamamlandıktan sonra, silecek saldırgana arka uç URL’si, sistem parmak izi ve dosya silme sonucuyla ‘anupm019@gmail.com adresine e -posta gönderir.
Saldırgan ayrıca, yıkıcı komutun gerçek zamanlı olarak başarılı olup olmadığını doğrulayan bir HTTP yanıtı yoluyla orijinal isteklerine daha fazla geri bildirim alır.
NPM’deki veri silecek vakaları, kötü amaçlı yazılım dağıtım platformlarına kaydırıldığında tipik durum olan finansal kazanç veya veri hırsızlığı amacına hizmet etmedikleri için olağandışıdır.
Socket, iki paketi, ekosisteme sürünen devlet düzeyinde veya sabotaj aktivitesini gösterebilecek “NPM’nin tehdit manzarasına ek olarak bir ek” olarak nitelendirerek yorumlar.
“Bu paketler kripto para birimi veya kimlik bilgileri çalmıyor – her şeyi siliyorlar.”
Diyerek şöyle devam etti: “Bu, sadece finansal olarak motive olmak yerine sabotaj, rekabet veya eyalet düzeyinde bozulma ile motive edilen saldırganları gösteriyor.”
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın – karmaşık komut dosyaları gerekmez.