Saldırganlar, kötü amaçlı yazılım ve dolandırıcılık dağıtmak için popüler genel JavaScript yazılım kaydı NPM’nin iyi itibarını ve “açıklığını” kullanıyor, ancak aynı zamanda hizmete karşı aynı anda ve istemeden DoS saldırıları başlatıyor.
Kötü amaçlı yazılım sunan bir siteye işaret eden NPM’deki kötü amaçlı paket (Kaynak: Checkmarx)
“Bu otomatik betikler tarafından oluşturulan durdurulamaz yük, NPM’yi ara sıra “Hizmet Kullanılamıyor” hatalarıyla kararsız hale getirdi. Checkmarx’ta yazılım tedarik zinciri güvenliği başkanı Jossef Harush Kadouri, geçen hafta bunun benim ve meslektaşlarımın başına birçok kez geldiğine tanık olabiliyorum” diyor.
Kötü niyetli planlar
Kadouri tarafından belgelendiği üzere, saldırganlar NPM’yi şu amaçlarla kötüye kullanır:
- Kötü amaçlı yazılım dağıtım kampanyaları için SEO zehirlenmesi gerçekleştirin
- Spam kampanyalarını kaldırın
- Güçlü kripto dolandırıcılığı kampanyaları
- Kimlik avı kampanyaları yürütmek
Bu yılın başlarında Checkmarx, yalnızca birkaç saat içinde 15.000’den fazla kimlik avı paketi yayınlayan birden çok kullanıcı hesabını içeren bir flaş saldırı tespit etti ve bu tür “saldırıların” sık sık gerçekleştiğini tespit etti.
“İsim alınmadığı sürece sınırsız sayıda paket yayınlayabilirler. [on NPM],” açıklıyor.
“Genellikle, NPM’de yayınlanan paket sürümlerinin sayısı yaklaşık 800.000’dir. Ancak geçen ay spam kampanyalarının yoğunluğu nedeniyle bu rakam 1,4 milyonu aştı.”
Paket oluşturma işlemi otomatiktir ve paketler genellikle yalnızca bir benioku dosyası içerir.
Saldırganların hedefine bağlı olarak, paketler/benioku dosyaları kimlik avı sayfalarına bağlantılar, yönlendirme kimlikleri kullanan perakende web siteleri, oyun hileleri kılığına giren kötü amaçlı yazılım sunan özel/sahte web sitelerine bağlantılar, ücretsiz kaynaklar, daha fazla TikTok takipçisi kazanmaya yönelik nasıl yapılır kılavuzları, vesaire.
NPM DoS’u Önleme
NPM’nin arama motorları nezdindeki iyi itibarı, bu kötü amaçlı paketlerin, kullanıcılar belirli terimleri aradıklarında sonuç listesinde üst sıralara çıkmasına olanak tanır – bu da bir avantajdır.
Ne yazık ki NPM operatörleri için, ara sıra gerçekleşen bu kötü amaçlı paket selleri NPM’yi aşırı yükleyebilir, bu da kullanıcıların ihtiyaç duyduklarında ara sıra erişemedikleri anlamına gelir.
“[In my honest opinion,] NPM, bot karşıtı teknikleri özellikle kullanıcı oluşturma akışında uygulamalıdır. Bu, bu tür otomatikleştirilmiş kampanyaları önlemeye yardımcı olabilir,” diye tavsiyede bulundu Kadouri.