Fortiguard Labs, en büyük JavaScript yazılım kaydı olan Node Paket Yöneticisinde (npm) bulduğu bir grup kötü amaçlı paket konusunda uyarıda bulunuyor.
2 Ekim tarihli bir blog yazısında Fortiguard’dan Jin Lee ve Jenna Wang, paketlerin “bir web kancası veya dosya paylaşım bağlantısı aracılığıyla sistem veya kullanıcı bilgileri gibi hassas verileri çalmayı” amaçladığını söyledi.
Lee ve Wang, “şaşırtılmış haldeyken hassas verileri sızdıran” bazı paketler belirlediklerini söyledi.
Bunlar arasında “Kubernetes yapılandırmaları, SSH anahtarları ve diğer kritik bilgiler” yer alıyor. Ayrıca kullanıcı adı, IP adresi ve ana bilgisayar adı gibi temel sistem parmak izi ayrıntılarını da topluyor” dediler.
Paketler çoğunlukla “webpack”, “fixedwidthtable” ve “virtualsearchtable” gibi iyi huylu görünen adlara sahipti.
İkinci bir paket seti “belirli URL’lere HTTP GET istekleri göndererek, değerli fikri mülkiyet ve yapılandırma verilerini içeren hassas dosyaları ve dizinleri tarayarak daha sonra çıkartılıp bir FTP sunucusuna yüklenir.”
Kaynak kodu ve yapılandırma dosyalarının yanı sıra uygulama ve hizmet kimlik bilgileri gibi hassas bilgileri içeren dizinler de bu paketler tarafından yakalandı.
Toplamda Fortiguard, benzer davranışlara sahip dokuz grup kötü amaçlı npm paketi belirledi.
Fortiguard, kötü amaçlı etkinliğin çoğunlukla kötü amaçlı paket çalıştırıldığında çalıştırılan yükleme komut dosyalarında gizlendiğini söyledi.
Kötü amaçlı yazılım, genel yazılım kayıtları için kalıcı bir sorun olmaya devam ediyor; npm’nin geçen yıl ve bu yılın başlarında da kötü aktörlerin paketlerine ev sahipliği yaptığı tespit edildi.