Siber güvenlik araştırmacıları, proje koruyucuların NPM jetonlarını çalmak için tasarlanmış bir kimlik avı kampanyası aracılığıyla popüler NPM paketlerini hedefleyen bir tedarik zinciri saldırısı konusunda uyardı.
Yakalanan jetonlar daha sonra, herhangi bir kaynak kodu taahhütü veya kendi GitHub depolarında çekme isteği olmadan paketlerin kötü niyetli sürümlerini doğrudan kayıt defterine yayınlamak için kullanıldı.
Sokete göre etkilenen paketlerin ve onların haydut versiyonlarının listesi aşağıda listelenmiştir –
- ESLINT-CONFIG-PRETTER (Sürümler 8.10.1, 9.1.1, 10.1.6 ve 10.1.7)
- ESLINT-Plugin-Prettier (Sürüm 4.2.2 ve 4.2.3)
- SYNCKIT (sürüm 0.11.9)
- @pkgr/core (sürüm 0.2.8)
- Napi-Postinstall (sürüm 0.3.1)
Yazılım tedarik zinciri güvenlik firması, “Enjekte edilen kod, Windows makinelerinde bir DLL yürütmeye çalıştı ve potansiyel olarak uzaktan kod yürütmesine izin verdi.” Dedi.
Geliştirme, proje koruyucuları yazım hatası bir bağlantıya tıklamaya (“NPNJS ile tıklamak için NPM’yi taklit eden e -posta mesajları gönderdiği tespit edilen bir kimlik avı kampanyasının ardından geliyor.[.]com, “NPMJ’lerin aksine”[.]com “) kimlik bilgilerini topladı.
Dijital Missives, “Lütfen e -posta adresinizi doğrulayın” ile ilgili olarak NPM ile ilişkili meşru bir e -posta adresini taklit etti (“Destek@NPMJS[.]org “), alıcıları gömülü bağlantıya tıklayarak e -posta adreslerini doğrulamaya çağırır.
Mağdurların soket başına yönlendirildiği sahte açılış sayfası, giriş bilgilerini yakalamak için tasarlanmış meşru NPM giriş sayfasının bir klonudur.
Etkilenen paketleri kullanan geliştiricilere yüklü sürümleri çapraz kontrol etmeleri ve güvenli bir sürüme geri dönmeleri önerilir. Proje bakımcılarının hesaplarını güvence altına almak için iki faktörlü kimlik doğrulamasını açmaları ve paket yayınlamak için şifreler yerine kapsamlı jetonlar kullanmaları önerilir.
Socket, “Bu olay, bakıcılara yönelik kimlik avı saldırılarının ekosistem çapında tehditlere ne kadar hızlı yükselebileceğini gösteriyor.” Dedi.
Bulgular, Rus veya Belaruslu bir alan ile web sitelerinde fare tabanlı etkileşimi devre dışı bırakabilecek protesto işlevselliği içeren 28 paketle NPM’yi sular altında bırakan ilgisiz bir kampanyaya denk geliyor. Ayrıca Ukrayna milli marşını bir döngüde oynamak için tasarlanmıştır.
Bununla birlikte, saldırı yalnızca site ziyaretçisinin tarayıcı dili ayarları Rusça olarak ayarlandığında ve bazı durumlarda aynı web sitesi ikinci kez ziyaret edildiğinde çalışır, böylece ziyaretçilerin sadece tekrar tekrar ziyaret edilmesini sağlar. Etkinlik, geçen ay ilk işaretlenen bir kampanyanın genişlemesini işaret ediyor.
Güvenlik araştırmacısı Olivia Brown, “Bu protesto yazılımı, geliştiriciler tarafından alınan eylemlerin iç içe bağımlılıklarda fark edilmeden yayılabileceğini ve tezahür etmesi gün veya haftalar sürebileceğini vurguluyor.” Dedi.
Arch Linux, Chaos Rat Kötü Yazılımları Kuran 3 AUR Paketini kaldırır
Ayrıca, Arch Linux ekibinin, Arch Kullanıcı Deposu’na (AUR) yüklenen üç kötü amaçlı AUR paketini çektiğini ve şu anda kaldırılmış bir GitHub deposundan Chaos Rat adlı bir uzaktan erişim Truva Rat’ı yüklemek için gizli işlevselliği barındırdığını söylediği gibi geliyor.
Etkilenen paketler: “Librewolf-Fix-Bin,” “Firefox-Patch-Bin” ve “Zen-Browser-Patched-Bin”. 16 Temmuz 2025’te “Danikpapas” adlı bir kullanıcı tarafından yayınlandı.
“Bu paketler, uzaktan erişim Truva atı (sıçan) olarak tanımlanan aynı GitHub deposundan gelen bir komut dosyası yüklüyordu.” Dedi. Diyerek şöyle devam etti: “Bu paketlerden birini sistemlerinden kaldırmaya ve tehlikeye girmediklerinden emin olmak için gerekli önlemleri almaya teşvik ediyoruz.”