Siber güvenlik araştırmacıları, popüler bir yapay zeka (AI) destekli kaynak kod düzenleyicisi olan imlecin Apple macOS sürümünü hedeflemek için tasarlanmış üç kötü amaçlı NPM paketini işaretlediler.
“En ucuz imleç API’sını sunan geliştirici araçları olarak gizlenmiş, bu paketler kullanıcı kimlik bilgilerini çalıyor, tehdit aktör kontrollü altyapıdan şifreli bir yük getirin, imleci ana.js dosyasının üzerine yazın ve kalıcılığı korumak için otomatik güncellemeleri devre dışı bırakın,” dedi Socket araştırmacısı Boychenko.
Söz konusu paketler aşağıda listelenmiştir –
Her üç paket de NPM kayıt defterinden indirilebilir. “Aiide-Cur” ilk olarak 14 Şubat 2025’te yayınlandı. “Aiide” adlı bir kullanıcı tarafından yüklendi. NPM kitaplığı “İmleç Düzenleyicisinin MacOS sürümünü yapılandırmak için komut satırı aracı” olarak tanımlanır.
Yazılım tedarik zinciri güvenlik firması başına diğer iki paket, bir gün önce “GTR2018” takma adı altında bir tehdit oyuncusu tarafından yayınlandı. Toplamda, üç paket bugüne kadar 3.200’den fazla indirildi.
Kurulduktan sonra kütüphaneler, kullanıcı tarafından sağlanan imleç kimlik bilgilerini hasat etmek ve uzak bir sunucudan (“T.SW2031[.]com “veya” api.aiide[.]XYZ “), daha sonra meşru bir imleçe özgü kodu kötü niyetli mantıkla değiştirmek için kullanılır.
“Sw-Cur” ayrıca imlecin otomatik güncelleme mekanizmasını devre dışı bırakma ve tüm imleç işlemlerini sonlandırma adımını da alır. NPM paketleri daha sonra, yamalı kodun yürürlüğe girmesi için uygulamayı yeniden başlatmaya devam ederek tehdit aktörüne platform bağlamında keyfi kod yürütmesi için verilir.
Boychenko, “Bu kampanya büyüyen bir tedarik zinciri tehdidini vurguluyor, tehdit aktörleri güvenilir yerel yazılımdan ödün vermek için giderek kötü niyetli yamalar kullanıyor.” Dedi.
Buradaki satış noktası, saldırganların geliştiricilerin yapay zekaya olan ilgisini ve AI modellerine erişim için daha ucuz kullanım ücretleri arayanları kullanmaya çalıştıklarıdır.
Araştırmacı, “Tehdit oyuncunun sloganı kullanması ‘en ucuz imleç API’ muhtemelen bu grubu hedefliyor ve kullanıcıları sessizce bir arka kapı dağıtırken indirimli erişim vaadiyle çekiyor.”
Açıklama, soketin diğer iki NPM paketini ortaya çıkardığı – Pumptoolforvolumandcomment ve hata ayıklama – Siphons kripto para anahtarları, cüzdan dosyaları ve Bullet dosyaları ve MacOS sistemlerinde Bullx adlı bir kripto para platformu ile ilgili ticaret verilerini sunan gizlenmiş bir yük sunmak için gelir. Yakalanan veriler bir telgraf botuna eklenir.
“Pumptoolforvolumment” 625 kez indirilirken, “Debugdogs”, Eylül 2024’te “Olumideyo” adlı bir kullanıcı tarafından NPM’ye yayınlandığından beri toplam 119 indirme aldı.
Güvenlik araştırmacısı Kush Pandya, “Hata ayıklama, sadece Pumptoolforvolumeandcomment’ı çağırıyor, bu da onu uygun bir ikincil enfeksiyon yükü haline getiriyor.” Dedi. “Bu ‘sargı’ deseni ana saldırıda iki katına çıkar ve temel kötü niyetli kodları değiştirmeden birden fazla adın altına yayılmayı kolaylaştırır.”
“Bu yüksek hedefli saldırı cüzdanları boşaltabilir ve hassas kimlik bilgilerini ve alım satım verilerini saniyeler içinde ortaya çıkarabilir.”
Tedarik zinciri saldırısında tehlikeye atılan NPM Paketi “Rand-User-Agent”
Keşif ayrıca Aikido’dan, bir uzaktan erişim Truva atını (sıçan) gizleyen kodu enjekte etmek için “Rand-User-Agent” adlı meşru bir NPM paketini tehlikeye atan bir tedarik zinciri saldırısı hakkında bir rapor izliyor. 2.0.83, 2.0.84 ve 1.0.110 sürümlerinin kötü niyetli olduğu bulunmuştur.
Güvenlik araştırmacısı Charlie Eriksen, yeni yayınlanan sürümler, geçerli çalışma dizini değiştirmesine, dosyaları yüklemesine ve kabuk komutlarını yürütmesine izin veren komutlar almak için harici bir sunucu ile iletişim kurmak üzere tasarlanmıştır. Uzlaşma 5 Mayıs 2025’te tespit edildi.
Yazma sırasında, NPM paketi kullanımdan kaldırıldı ve ilişkili GitHub deposuna artık erişilemiyor ve kullanıcıları 404 sayfaya yönlendiriyor.
Şu anda yetkisiz değişiklikler yapmak için NPM paketinin nasıl ihlal edildiği açık değil. 2.0.83, 2.0.84 veya 1.0.110’a yükseltilmiş kullanıcıların yedi ay önce yayınlanan son güvenli sürüme geri düşürmeleri tavsiye edilir (2.0.82). Ancak bunu yapmak kötü amaçlı yazılımları sistemden kaldırmaz.