Açık kaynak ekosistemini hedefleyen sofistike bir saldırıda, raporlar, şüphesiz geliştiricilerin Linux sistemlerine backdoors yüklemek için telgraf bot API’sını haksız bir şekilde sömüren birkaç kötü niyetli NPM paketini detaylandırdı.
Bu endişe verici eğilim, özellikle platformun açık geliştirme mimarisi ışığında, yazılım tedarik zincirlerinin bütünlüğü konusundaki endişeleri artırmıştır.
Siber suçlular kötü amaçlı yazılım dağıtım için açık ekosistemden yararlanır
2025 itibariyle aylık 1 milyardan fazla aktif kullanıcıdan oluşan gelişen kullanıcı tabanı ile Telegram, bot dostu ortamı nedeniyle siber suç için ana hedef haline geldi.
.png
)
Ekosistem, herkesin titiz bir veteriner süreci olmadan bot geliştirmesine ve dağıtmasına izin verir ve bu da sömürü için olgunlaşır.
Geliştiriciler genellikle düğüm-telegram-bot-api gibi güvenilir kütüphanelere güvenirler, ancak saldırganlar, Sistemlere sessizce yükleyen düğüm-telegram-utils, düğüm-telegram-bots-api ve düğüm-telegram-util gibi meşru olanlara benzer isimlerle kötü niyetli paketler tanıttılar.
Başlatma üzerine, bu kötü amaçlı paketler, işletim sisteminin Linux olup olmadığını kontrol eden AddBotID () adlı bir işlev yürütür.
Onaylanırsa, işlev geliştiricinin SSH yapılandırmasını değiştirmeye devam ederek .ssh/yetkili_keyler dosyasına iki SSH genel anahtarı enjekte eder.
Rapora göre, bu manipülasyon saldırganlara uzlaşmış sisteme kalıcı, şifresiz erişim sağlıyor.
Geliştiriciler, aksi takdirde meşru görünümlü bir kütüphanenin daha geniş bağlamında yerleşik olan bu kod satırlarını göz ardı edebilir, böylece sistemlerini paketi kaldırdıktan sonra bile yetkisiz erişime karşı savunmasız bırakabilir.
Veri Defiltrasyonu ve Kalıcı Erişim Riskleri
Saldırganlar sadece erişim kazanmayı bırakmazlar; Ayrıca veri eksfiltrasyonu başlatırlar.
Ipinfo.io gibi API’leri kullanarak, paketler sistemin harici IP adresini ve kullanıcı adını toplar ve bu bilgileri Solana adlı bir alan altında gizlenmiş bir sunucuya geri gönderir[.]doğrulayıcı[.]blog.
Bu kurulum, saldırganların sadece tehlikeye atılan sistemlerde kalıcılığı korumakla kalmayıp, aynı zamanda organizasyonel ağlar içindeki daha fazla sömürü veya yanal hareket için kullanılabilecek değerli zeka toplamalarını sağlar.
Bu saldırıların yaygınlığı, geliştiriciler arasında artan uyanıklık ihtiyacının altını çizmektedir.
Düzenli bağımlılık denetimleri ve otomatik tarama araçlarının benimsenmesi, üretim ortamlarına sızmadan önce bu tür tehditleri tespit etmek ve etkisiz hale getirmek için artık zorunludur.
Socket’in GitHub uygulaması ve CLI gibi araçlar, bağımlılıkları gerçek zamanlı olarak izleyerek ve NPM kurulumları veya yapılar sırasında kötü niyetli davranışları işaretleyerek proaktif güvenlik sunar.
Saldırganların, geliştiricilerin ve kuruluşların gelişen taktiklerine yanıt olarak, birçok güvenlik katmanını geliştirme uygulamalarına entegre etmeleri istenir.
Bu sadece gerçek zamanlı izleme ve taramayı değil, aynı zamanda entegre ettikleri yazılımın davranışsal kalıplarını da içerir.
Gelişmiş gizleme tekniklerini kullanan son saldırılar, sürekli güncellemeler ve güvenlik entegrasyonları yoluyla siber suçluların önünde kalmanın gerekliliğini vurgulamaktadır.
NPM yoluyla bu tedarik zinciri saldırısı dalgası sadece bireysel geliştiricileri tehdit etmekle kalmaz, aynı zamanda organizasyonel güvenlik için önemli riskler oluşturur ve yazılım geliştirme yaşam döngüsü içindeki sağlam güvenlik protokollerine yönelik kritik ihtiyacı vurgular.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!