Kurulum sırasında otomatik olarak yürütülen ve kapsamlı bir kimlik bilgisi hırsızlığı operasyonu uygulayan, on kötü amaçlı npm paketini içeren karmaşık bir tedarik zinciri saldırısı.
Kötü amaçlı yazılım, geliştiricilerin Windows, Linux ve macOS ortamlarındaki sistemlerinden hassas kimlik doğrulama verilerini toplamak için gelişmiş gizleme teknikleri, sosyal mühendislik taktikleri ve platformlar arası işlevsellik kullanıyor.
Socket’in Tehdit Araştırma Ekibi, 4 Temmuz 2025’ten bu yana (dört aydan fazla) npm kayıt defterinde aktif kalan kötü amaçlı paketlerin, Socket’in npm’ye kaldırılması için dilekçe vermesinden önce 9.900’den fazla toplu indirme biriktirdiğini ortaya çıkardı.
Saldırı, otomatik yürütme kancalarını, çok katmanlı gizlemeyi ve profesyonel kimlik bilgisi toplama altyapısını birleştirerek npm tedarik zinciri istismarında yeni bir karmaşıklık düzeyini ortaya koyuyor.
Kötü amaçlı paketler, geliştiriciler npm kurulumunu çalıştırdığında hemen kötü amaçlı kodu yürütmek için npm’nin kurulum sonrası yaşam döngüsü kancasından yararlanır.
Tehdit aktörü package.json dosyasını otomatik olarak bir install.js komut dosyasını tetikleyecek şekilde yapılandırdı; bu komut dosyası daha sonra kurbanın işletim sistemini algılıyor ve kötü amaçlı yazılımı gizli bir terminal penceresinde başlatıyor.
Windows sistemlerinde kötü amaçlı yazılım yeni bir komut istemi oluşturur; Linux’ta, x-terminal-emulator için geri dönüş desteğiyle gnome-terminalini açmaya çalışır; macOS’ta Terminal.app’i başlatmak için AppleScript’i kullanır.
İçeriklerini anında temizleyen ayrı terminal pencerelerinde çalıştırılan kötü amaçlı yazılım, yükleme işlemi sırasında görünmez bir şekilde çalışır ve terminal çıktılarına bakan geliştiricilerin tespit etmesini engeller.
Bu yürütme yöntemi özellikle sinsidir çünkü başlangıçtaki npm install komutunun ötesinde ek kullanıcı etkileşimi gerektirmez.
Yazım hatası yapılmış bir paket yükleyen geliştiriciler, sistemlerinde kötü amaçlı kod yürütüldüğüne dair herhangi bir açık belirti olmadan, farkında olmadan kötü amaçlı yazılımı tetikler.
Dört Katmanlı Gelişmiş Gizleme
Kötü amaçlı yazılım, statik analiz ve tersine mühendislik girişimlerini engellemek için tasarlanmış dört farklı gizleme katmanı uygular.
En dıştaki katman, tüm yükü, çalışma zamanında kendini yeniden yapılandıran ve değerlendiren, kendi kodunu çözen bir değerlendirme sarmalayıcıya sararak kaynak kodunun üstünkörü incelenmesini önler.
İkinci katman, kod çözücü işlevinin karma işlemini temel alan dinamik olarak oluşturulmuş bir anahtarla XOR şifrelemesini kullanır ve kodu çalıştırmadan otomatik şifre çözmeyi zorlaştırır.
Yük dizesi daha sonra URL olarak kodlanır ve bu, tam JavaScript değerlendirme yeteneklerine sahip olmayan analiz araçlarına başka bir engel ekler.
Son olarak, kodu çözülen kod, program akışını gizlemek için onaltılık ve sekizlik aritmetik içeren anahtar durumu durum makinelerini kullanır ve bu da manuel analizi son derece zaman alıcı hale getirir.
Bu çok katmanlı yaklaşım, tehdit aktörünün altyapısını ve yeteneklerini, saldırıyı anlamaya çalışan güvenlik araştırmacılarından koruyarak, npm kötü amaçlı yazılımların gizlenmesinde önemli bir ilerlemeyi temsil ediyor.
Kimlik bilgisi hırsızlığı operasyonu, her biri kimlik bilgilerinin ele geçirilmesini en üst düzeye çıkarırken tespit edilmekten kaçınmak için tasarlanmış dört farklı aşamadan oluşuyor.
Birinci aşamada, sosyal mühendis geliştiricilerine meşru bot korumasıyla etkileşime girdiklerine inanmalarını sağlayan sahte bir CAPTCHA istemi sunulur.
Kötü amaçlı yazılım, aynı anda, meşru paket bağımlılıklarını taklit eden, gerçekçi sürüm numaraları ve katkıda bulunanların sayılarıyla tamamlanan sahte kurulum mesajlarını görüntüler.
Bu aldatma, kötü amaçlı yazılımın güvenilir görünmesini sağlar ve yürütmeyi geciktirir, böylece npm kurulumuyla bağlantı daha az belirgin hale gelir.
İkinci aşamada, kötü amaçlı yazılım, parmak izi alma ve coğrafi konum belirleme amacıyla kurbanın IP adresini tehdit aktörünün 195.133.79.43/get_current_ip adresindeki sunucusuna gönderir.
Bu, kurban izleme kayıtları oluşturur ve tehdit aktörünün, kurulumların amaçlanan hedef profille eşleştiğini doğrulamasına olanak tanır.
![195'e HTTP GET isteğini gösteren Wireshark yakalaması[.]133[.]79[.]43/get_current_ip.](https://cdn.sanity.io/images/cgdhsj6q/production/ae16a4bd4ba89f4212343c1fd379797b3927bd70-2000x1162.png?w=1600&q=95&fit=max&auto=format)
Kurban sahte CAPTCHA’ya metin girdiğinde üçüncü aşama, kurbanın işletim sistemine göre uyarlanmış 24 MB PyInstaller paketli Python uygulaması olan data_extracter ikili dosyasının otomatik olarak indirilmesi ve çalıştırılmasıyla başlar.
Dördüncü aşama, birden fazla depolama mekanizması üzerinden kapsamlı kimlik bilgileri toplamayı içerir.
İkili sistem, kimlik bilgisi depoları için dosya sistemlerini sistematik olarak tarar, tüm önemli işletim sistemlerindeki sistem anahtar halkalarından verileri çıkarır, tarayıcı oturumu çerezlerini ve kayıtlı şifreleri toplar, OAuth ve JWT kimlik doğrulama belirteçlerini toplar ve SSH özel anahtarlarını ve API kimlik bilgilerini içeren yapılandırma dosyalarını bulur.
Çalınan veriler ZIP arşivlerine sıkıştırılıyor ve saldırganın komuta ve kontrol altyapısına geri sızdırılıyor.
Platformlar Arası Kimlik Bilgisi Toplama
data_extracter ikili dosyası, Windows, Linux ve macOS platformlarında gelişmiş kimlik bilgisi çıkarma yeteneklerini uygular.
Linux sistemlerinde SecretService D-Bus API, GNOME Anahtarlığı ve KWallet’te saklanan kimlik bilgilerine erişir. macOS hedeflerinden Keychain Services API aracılığıyla yararlanılırken, Windows sistemlerinin Kimlik Bilgisi Yöneticileri CredRead ve CredWrite API’leri aracılığıyla toplanır. Bu çoklu platform yaklaşımı, herhangi bir işletim sistemindeki geliştiricilerin kimlik bilgilerinin tehlikeye atılmasını sağlar.
Kötü amaçlı yazılım özellikle e-posta istemcileri tarafından kullanılan sistem anahtarlıkları, bulut depolama senkronizasyon araçları, VPN uygulamaları ve şifre yöneticileri dahil olmak üzere yüksek değerli kimlik bilgisi depolarını hedef alıyor.
Tarayıcı verilerinin çıkarılması, çok faktörlü kimlik doğrulamayı atlayan oturum çerezlerine, tarayıcı şifre yöneticilerinden kayıtlı şifrelere ve oturumun ele geçirilmesi için çerez kavanozu verilerine odaklanır.
İkili dosya, OAuth belirteçleri, JWT belirteçleri ve Ubuntu SSO ve API erişimi için kullanılan LaunchPad kimlik bilgileri dahil olmak üzere modern kimlik doğrulama belirteçlerinin çıkarılmasına yönelik özel kitaplıklar içerir.
Kuruluşlar, on kötü amaçlı pakete yönelik bağımlılıklarını derhal denetlemeli ve bu paketlerin kurulduğu herhangi bir sistemin tamamen tehlikeye girdiğini varsaymalıdır.
Ekipler, sistem anahtarlıklarında ve şifre yöneticilerinde depolanan tüm kimlik bilgilerini sıfırlamalı, tüm hizmetler için kimlik doğrulama belirteçlerini iptal etmeli, henüz dağıtılmamışsa çok faktörlü kimlik doğrulamayı etkinleştirmeli ve tüm sistemlerdeki yetkili anahtarları incelerken SSH anahtarlarını dönüşümlü kullanmalıdır.
Erişim günlükleri, bağlı hizmetlerde olağandışı faaliyetler açısından denetlenmeli ve kuruluşlar, güvenliği ihlal edilmiş sistemlerden üretim altyapısına olası yanal hareketleri kontrol etmelidir.
Güvenlik ekipleri, olası kimlik bilgisi hırsızlığına karşı tarayıcı geçmişini incelemeli, depolara ve bulut hizmetlerine yetkisiz erişime karşı izleme kurmalı, saldırganın altyapısına yapılan bağlantılar için VPN ve güvenlik duvarı günlüklerini denetlemeli ve kurulmuş olabilecek ek kalıcılık mekanizmalarını tanımlamalıdır.
Bağımlılık taraması için GitHub uygulama entegrasyonu, kurulum sırasında CLI denetimi, indirme uyarıları için tarayıcı uzantıları ve kurumsal güvenlik duvarı koruması dahil olmak üzere Socket’in tedarik zinciri savunma araçlarının uygulanması, geliştirme ortamlarını tehlikeye atan benzer tedarik zinciri saldırılarının riskini önemli ölçüde azaltır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.