Birbirine bağlı web geliştirme dünyasında, açık kaynaklı bileşenler, geliştirici topluluğu içinde işbirliğini ve kod paylaşımını kolaylaştıran hayati bir rol oynar. Bununla birlikte, son olaylar tedarik zincirindeki güvenlik açıklarını ortaya çıkardı; kötü niyetli aktörler, işaretlendikten ve paket kayıtlarından kaldırıldıktan sonra bile tehlikeli paketlere hizmet vermek için açık kaynaklı içerik dağıtım ağlarından (CDN’ler) yararlanıyor.
NPM Kayıt Defteri: JavaScript Paket Paylaşımı İçin Bir Oyun Alanı
NPM (Düğüm Paket Yöneticisi), uzun süredir JavaScript programlama dili için paket yöneticisi ve Node.js projeleri için varsayılan seçim olmuştur. Merkezi kayıt defterinde bulunan bir milyondan fazla açık kaynaklı JavaScript paketiyle NPM, geliştiricilerin kod paketlerini kolayca kurmasını, yönetmesini ve paylaşmasını sağlar. Geliştiricileri korumak için NPM, otomatik güvenlik açığı taraması, tavsiyeler ve bilinen güvenlik kusurları için kurulu paketleri denetleme yeteneği gibi güvenlik önlemleri kullanır.
jsdelivr CDN: Küresel Bir İçerik Dağıtım Merkezi
Açık kaynaklı bir içerik dağıtım ağı olan jsdelivr, geliştiricilerin web projeleri için harici kitaplıklar ve kaynaklar da dahil olmak üzere dosyaları barındırması ve dağıtması için hızlı ve güvenilir bir yol sunar. Dünya çapında dağıtılan sunucularla küresel bir CDN olarak çalışan jsdelivr, dosyaların kullanıcının konumuna en yakın sunucudan alınmasını sağlayarak performansı optimize eder ve gecikmeyi azaltır. Sürüm oluşturma desteği, geliştiricilerin belirli kitaplık sürümlerine başvurmasına olanak tanıyarak güncellemeler arasında proje istikrarını sağlar.
Kötü Amaçlı Paket Reactenz, CDN Güvenlik Açığı Kullanıyor
Kötü amaçlı “reactenz” paketinin yakın zamanda keşfedilmesi, sistemdeki ilgili bir kusura dikkat çekti. Paket, GitHub kod parçacıklarında yaygın olarak kullanılan popüler “react-enzyme” paketine meşru bir alternatif gibi göründü. Ancak daha detaylı araştırmalar sonucunda “reactenz”in kötü niyetli olduğu ortaya çıktı.
Bir web sayfasına entegre edildikten sonra “reactenz”, jsdelivr CDN hizmetinden kodlanmış bir .txt dosyası indirdi ve HTML olarak kodunu çözdü. .txt dosyasının içeriğinin, kullanıcıları Microsoft parolalarını sıfırlamaları ve güncel kimlik bilgilerini çalmaları için kandırmak üzere tasarlanmış klasik bir kimlik avı HTML kodu olduğu ortaya çıktı. Özellikle rahatsız edici olan şey, “reactenz”in NPM’de kötü amaçlı olarak işaretlendikten sonra bile CDN aracılığıyla hâlâ erişilebilir olmasıdır.
CDN Güvenlik Açıkları ve Tedarik Zinciri Saldırıları
Bu olay iki kritik sorunu ortaya çıkarıyor. İlk olarak, NPM kötü amaçlı paketleri hızlı bir şekilde kaldırmaya çalışırken, CDN aracılığıyla sunulan içerik tespit edildikten çok sonra da erişilebilir durumda kalır. İkinci olarak, tehdit aktörleri, genellikle potansiyel kötü amaçlı göstergeler için web indirmelerini izleyen geleneksel güvenlik araçlarından kaçınırken, kötü amaçlı içeriğe hizmet etmek için CDN hizmetlerinden yararlanabilir.
Bir başka endişe verici keşif, NPM’de kötü amaçlı olarak işaretlendikten bir ay sonra bile jsdelivr CDN aracılığıyla erişilebilen kötü amaçlı “standforusz” paketiydi. Benzer bir durum, bir yıldan uzun bir süre önce kötü niyetli olarak tanımlanan ancak CDN’de hala erişilebilir kötü amaçlı bileşenlere sahip olan “markedjs” paketinde bulundu.
İşbirlikçi Güvenlik Çabaları
Bir blog gönderisinde, Veri Bilimi Kontrol Noktası Başkanı Ori Abramovsky, araştırmacıların bulguları derhal NPM ve jsdelivr’e bildirerek kötü amaçlı paketlerin ve içeriğin platformlarından kaldırılmasına yol açtığını söyledi. Ancak bu olay, açık kaynak bileşenlerinin oluşturduğu devam eden riski vurgulayarak geliştiricileri tetikte olmaya ve bağımlılıklarının bütünlüğünü doğrulamaya teşvik ediyor.
Tedarik zinciri saldırı risklerini ele almak, geliştirici topluluğunun ortak çaba göstermesini gerektirir. Geliştiriciler, açık kaynak paketlerini kullanırken dikkatli olmalı, orijinalliğini doğrulamalı ve güvenli geliştirme uygulamalarını benimsemelidir. Güvenlik araçları ve paket kayıtlarının da tedarik zinciri saldırılarını önlemek ve kötü amaçlı paketleri derhal kaldırmak için önlemleri güçlendirmesi gerekir.
Sonuç olarak, jsdelivr CDN’nin son istismarı, açık kaynak topluluğunda sürekli tetikte olma ve işbirliğine duyulan ihtiyacın altını çiziyor. Geliştiriciler, güvenli bir geliştirme sürecini sürdürerek ve potansiyel riskler hakkında bilgi sahibi olarak, projelerinin bütünlüğünü ve son kullanıcıların güvenliğini korumak için birlikte çalışabilirler.
İLGİLİ MAKALELER
- İçerik Dağıtım Ağı (CDN) SSS
- CDN kullanan milyonlarca web sitesi CPDoS saldırısı riskiyle karşı karşıya
- PABX platformu 3CX Masaüstü Uygulaması tedarik zinciri saldırısına maruz kalıyor
- Güvenli Tedarik Zinciri Yönetimi Çözümleri Nelerdir?
- Kötü Amaçlı Yazılım Bulaşmış GoogleUserContent CDN Barındırma Görüntüleri