JavaScript geliştiricilerini hedefleyen bir kimlik avı kampanyası, birkaç popüler NPM paketinin uzlaşmasına yol açtı, bu da dahil eslint-config-prettier. İhlal, benzeri bir alanda barındırılan sahte bir giriş sayfasını kullanarak bir bakımı kandıran bir saldırganın başladı. npnjs.com.
Saldırgan bakıcının NPM jetonunu ele geçirdikten sonra, önemli paketlerin kötü niyetli sürümlerini doğrudan kayıt defterinden itti ve GitHub depolarını tamamen atladılar.
İlk olarak aldatmaca, ilk gören bir geliştirici güvenlik platformu olan Socket’e göre, dört versiyonu eslint-config-prettier (8.10.1, 9.1.1, 10.1.6, 10.1.7), Windows makinelerini hedefleyen yüklemede yürütülen bir komut dosyası içerdiği bulunmuştur. Senaryo bir node-gyp.dll Kullanarak dosya rundll32bu da saldırganın etkilenen sistemlerde keyfi kod yürütmesine izin verebilir. Güvenlik araştırmacıları sorunu 7.5 CVSS puanı verdi ve yeni bir CVE (CVE-2025-54313) izlendiğini doğruladı.
Socket’in hackread.com ile paylaşılan blog yazısı, GitHub repo’da yeni sürümlere bağlı herhangi bir taahhüt veya çekme isteği olmadığı için saldırının bir süre tespit edilmediğini açıkladı.
Bunun yerine, saldırgan doğrudan yayınlamak için NPM kimlik bilgilerine güvenerek, kullanıcılar şüpheli etkinliği fark etmeye başlayana kadar tespitten kaçındı. Araştırmacılar tarafından keşfedilen diğer etkilenen paketler şunları içermektedir:
synckit: 0.11.9@pkgr/core: 0.2.8napi-postinstall: 0.3.1eslint-plugin-prettier: 4.2.2 ve 4.2.3
Bu paketler ön uç ve Node.js projelerinde yaygın olarak kullanılmaktadır. Birçok geliştirici bağımlı veya yenileme gibi otomatik araçlara güvendiğinden, tehlikeye atılmış sürümler kimse fark etmeden projelere çekilmiş olabilir. Yüklendikten sonra, yük etkilenen yapıları çalıştıran Windows makinelerine uzaktan erişim sağlayabilir.
İyi haber şu ki, jetonu tehlikeye atılan koruyucu, ihlal öğrendikten sonra hızla hareket etti. Kötü niyetli versiyonlar kullanımdan kaldırıldı ve kaldırıldı, kimlik bilgileri döndürüldü ve temizliğe yardımcı olmak için NPM desteği getirildi.
Soket durumu izliyor ve NPM kayıt defterinde diğer şüpheli etkinlikleri taramaya devam ediyor. Araçları, geliştiricilerin kötü amaçlı kod yayılmasından önce sorunları algılamasına yardımcı olabilecek beklenmedik yükleme komut dosyaları veya ikili yükler ile yeni sürümleri işaretler.
Cloudsmith geliştirici ilişkileri başkanı Nigel Douglas, daha geniş çıkarımlar hakkında yorum yaptı. Bunun, bağımlılık zincirlerinin saldırı vektörlerine nasıl dönüşebileceğinin başka bir örneği olduğuna dikkat çekti. “CI/CD boru hatları, her biri kendi koruyucuları, güncelleme döngüleri ve maruz kalma geçmişine sahip yüzlerce geçişli bağımlılık çekiyor” dedi. “Güvenli bağımlılık alma süreçleri olmadan, üretimde kaosa neden olmak sadece bir yukarı yönlü ihlal gerektiriyor.”
Douglas ayrıca, geliştiricilerin her güvenlik açığını kendi başlarına yakalamasını beklemenin mantıksız olduğunu vurguladı. “Tek bir çalıntı koruyucu jetonu, kötü amaçlı kodları NPM’de en yaygın olarak kullanılan ninter araçlarından birine itebilirse, bu bize bir şey söylemelidir. Bunu sadece bireysel paketlere odaklanarak düzeltemezsiniz” diye ekledi.
Scoped belirteçleri ve 2FA gibi daha güçlü bakım uygulamaları, kayıt defteri seviyesi önlemleri ve sürüm değişmezliği ve güvenilir kaynak doğrulaması gibi şeyleri destekleyen güvenli artefakt yönetim sistemleri çağrısında bulundu.