Npm ekosistemi, her biri kurulum sırasında otomatik olarak yürütülecek ve kapsamlı bir kimlik bilgisi toplama işlemini dağıtacak şekilde tasarlanan on kötü amaçlı paketin ortaya çıkmasıyla karmaşık yeni bir tehditle karşı karşıya kaldı.
Bu saldırı kampanyası, Windows, Linux ve macOS ortamlarındaki geliştiricileri hedef almak için birden fazla gizleme katmanını platformlar arası uyumlulukla birleştirerek tedarik zinciri ihlallerinde önemli bir evrimi temsil ediyor.
Kötü amaçlı yazılım, popüler JavaScript kitaplıklarını taklit etmek için yazım hatası teknikleri kullanıyor ve bu da şüphelenmeyen geliştiriciler için tespit edilmesini özellikle zorlaştırıyor.
4 Temmuz 2025’te yayınlanan bu paketler, dört aydan uzun bir süre boyunca etkin kaldı ve Socket.dev analistleri bunların kötü niyetli doğasını tanımlamadan önce toplu olarak 9.900’den fazla indirme topladı.
Parvlhonor@gmx e-posta adresiyle andrew_r1 takma adı altında faaliyet gösteren tehdit aktörü[.]com, her paketi discord.js, eters.js, TypeScript ve diğer yaygın olarak kullanılan geliştirme bağımlılıkları dahil olmak üzere yasal kitaplıklara yakından benzeyecek şekilde hazırladı.
Bu yazım yanlışı yaklaşımı, geliştiricilerin paketleri yüklerken yanlışlıkla ekleyebilecekleri yaygın yazım hatalarından ve varyasyonlardan yararlanır.
Her kötü amaçlı paket, kurulum işlemi sırasında tespit edilmekten kaçınmak için yeni bir terminal penceresinde başlatılarak kurulumdan hemen sonra çalıştırılmak üzere npm’nin kurulum sonrası yaşam döngüsü kancasından yararlanır.
Kötü amaçlı yazılımın tasarımı, npm install komutundan bağımsız çalışmasını sağlayarak geliştiricilerin olağandışı etkinlikleri fark etme olasılığını en aza indirir.
Paketler, kurbanın işletim sistemini otomatik olarak tanımlayan ve Windows komut istemleri, Linux terminalleri veya macOS Terminal.app için uygun yürütme yöntemini dağıtan gelişmiş platform algılama yeteneklerini içerir.
Kampanya, dört farklı gizleme katmanının uygulanması yoluyla gelişmiş teknik yetenekler sergiliyor.
Bunlar arasında, üstünkörü kod incelemesini önleyen kendi kodunu çözen bir değerlendirme sarmalayıcı, kod çözücü işlevinin kaynak koduna dayalı olarak dinamik olarak oluşturulan anahtarlarla XOR şifre çözme, yük dizelerinin URL kodlaması ve karışık onaltılı ve sekizli aritmetik içeren anahtar durumu durum makinelerini kullanan kontrol akışı gizleme yer alır.
Bu çok katmanlı yaklaşım, tam JavaScript değerlendirmesi olmadan statik analizi son derece zorlaştırır.
Başarılı kurulumun ardından kötü amaçlı yazılım, kurbanlara sosyal mühendislik bileşeni olarak tasarlanmış sahte bir CAPTCHA istemi sunuyor.
Bu öğe birçok amaca hizmet eder: paketin meşru görünmesini sağlamak, npm kurulumuyla bağlantısını gizlemek için yürütmeyi geciktirmek, otomatik güvenlik taramalarını atlayabilecek kullanıcı etkileşimini gerektirmek ve geliştiricileri saygın bir güvenlik önlemiyle etkileşimde olduklarına ikna etmek.
Çok Aşamalı Enfeksiyon ve Kimlik Bilgisi Toplama Mekanizması
Kötü amaçlı yazılımın bulaşma mekanizması, aldatmacayı gelişmiş veri çıkarma yetenekleriyle birleştiren, dikkatle düzenlenmiş çok aşamalı bir süreç aracılığıyla çalışır.
Sahte CAPTCHA sunumunun ardından sistem, kurbanın adresini http://195 adresine göndererek IP parmak izi işlemini gerçekleştirir.[.]133[.]79[.]43/get_current_ip, tehdit aktörünün kurulumları günlüğe kaydetmesine, potansiyel olarak coğrafi konuma göre filtrelemesine ve güvenlik araştırmacısının etkinliğini izlemesine olanak tanır.
Kurban CAPTCHA istemiyle etkileşim kurduğunda, kötü amaçlı yazılım otomatik olarak data_extracter adı verilen 24 MB PyInstaller paketli ikili dosyayı indirip çalıştırır.
.webp)
Bu platformlar arası bilgi hırsızı, tüm büyük işletim sistemlerinde birden fazla kimlik bilgisi depolama mekanizmasını hedefler.
İkili dosya, Linux SecretService D-Bus API’si ve GNOME Keyring, macOS Keychain Services API ve Windows Credential Manager için platforma özel uygulamaları içerir ve kurbanın ortamından bağımsız olarak kapsamlı kimlik bilgilerinin çıkarılmasını sağlar.
// Detects platform and spawns new terminal window
const platform = os.platform();
if (platform == 'win32') {
exec('start cmd /k "node app.js"');
} else if (platform == 'linux') {
exec('gnome-terminal -- bash -c "node app.js"', (error) => {
if (error) exec('x-terminal-emulator -e "bash -c \'node app.js\'"');
});
} else if (platform == 'Darwin') {
exec(`osascript -e 'tell app "Terminal"
do script "node '$(pwd)/app.js'"
end tell'`, () => {});
}Data_extracter ikili programı, tarayıcı profili dizinlerindeki, SSH anahtar dizinlerindeki, AWS kimlik bilgileri dosyalarındaki, Kubernetes yapılandırma dosyalarındaki ve Docker kayıt defteri kimlik bilgilerindeki kimlik bilgisi depolarını sistematik olarak tarayarak kapsamlı dosya sistemi keşfi gerçekleştirir.
Tarayıcı çerezlerini ve şifrelerini, API anahtarlarına sahip JSON yapılandırma dosyalarını, Git kimlik doğrulaması için SSH özel anahtarlarını ve bulut hizmetlerine ve geliştirme platformlarına uzun vadeli erişim sağlayan OAuth/JWT belirteçlerini içeren SQLite veritabanlarını hedefler.
Bu kapsamlı yaklaşım, saldırganın yalnızca etkileşimli kimlik bilgilerini değil aynı zamanda modern geliştirme iş akışlarında kullanılan hizmet hesabı kimlik bilgilerini ve otomasyon anahtarlarını da ele geçirmesini sağlar.
Kimlik bilgileri toplama işleminin tamamlanmasının ardından kötü amaçlı yazılım, çıkarılan tüm verileri sıkıştırılmış bir arşive paketler ve bu arşiv, tehdit aktörünün 195’teki komuta ve kontrol sunucusuna geri gönderilir.[.]133[.]79[.]43.
Çalınan kimlik bilgileri, kurumsal e-posta sistemlerine, bulut altyapısına, dahili ağlara, üretim veritabanlarına ve kimliği doğrulanmış web uygulamalarına anında erişim sağlarken oturum çerezleri, parola sıfırlama bildirimlerini tetiklemeden hesabın ele geçirilmesine olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
