Kuzey Koreli Hackerlar OtterCookie Kötü Amaçlı Yazılım Sunmak İçin npm, GitHub ve Vercel’den Yararlanıyor

Dünya çapındaki yazılım geliştiricilerini hedef alan büyük bir güvenlik tehdidi ortaya çıktı. “Bulaşıcı Röportaj” kampanyası kapsamında faaliyet gösteren Kuzey Kore devleti destekli tehdit aktörleri, OtterCookie kötü amaçlı yazılımını dağıtmak için sistematik olarak kötü amaçlı paketleri npm, GitHub ve Vercel altyapısına yayıyor.

Bu karmaşık çok aşamalı operasyon, tehdit aktörlerinin araçlarını modern JavaScript ve Web3 geliştirme iş akışlarını hedef alacak şekilde nasıl uyarladıklarını gösteriyor.

10 Ekim 2025’ten bu yana araştırmacılar, geliştiricileri tehlikeye atılmış kod yüklemeleri için kandırmak üzere tasarlanmış en az 197 yeni kötü amaçlı npm paketini ortaya çıkardı ve yalnızca bu dalga sırasında 31.000’den fazla ek indirme kaydedildi.

Saldırı zinciri dikkatle koordine edilmiş bir tedarik zinciri yaklaşımıyla çalışır. Tehdit aktörleri GitHub’da sahte geliştirici portföyleri oluşturuyor, npm’de meşru kitaplıkları taklit eden yazım hatası yapılmış paketler yayınlıyor ve kötü amaçlı yazılım yüklerini hazırlamak için Vercel barındırma kullanıyor.

Geliştiriciler bu kötü amaçlı paketleri bilmeden yüklediğinde, bir yükleme sonrası komut dosyası otomatik olarak yürütülür ve en son OtterCookie varyantını getirip çalıştırmak için saldırgan tarafından kontrol edilen uç noktalara ulaşır.

Standart geliştirme iş akışlarına bu kusursuz entegrasyon, geliştiricilerin npm paketlerinin kurulum sırasında kod yürütmesini beklemesi nedeniyle geleneksel güvenlik farkındalığını aştığı için saldırıyı özellikle tehlikeli hale getiriyor.

Socket.dev güvenlik analistleri, bu kampanyanın arkasındaki altyapının iyi organize edilmiş bir operasyonu ortaya çıkardığını belirtti ve belirledi.

Araştırmacılar, meşru “tailwind-merge” kitaplığını taklit eden “tailwind-magic” gibi kötü amaçlı paketlerin izini, “stardev0914” adlı tehdit aktörü tarafından kontrol edilen GitHub hesabına ve “tetrismic.vercel.app” adlı bir Vercel hazırlama uç noktasına kadar takip etti.

Bu hesap, hem teslimat aracı hem de ikna edici yem olarak hizmet etmek üzere tasarlanmış en az 18 depo içeriyordu; depolar, sahte DEX ön uçları ve token siteleri de dahil olmak üzere kripto para birimi projeleri etrafında temalıydı.

“Node-tailwind”, “tailwind-node” ve “react-modal-select” dahil olmak üzere en az beş temel kötü amaçlı paket bu altyapı üzerinden geçiyor.

Kötü amaçlı yazılım mimarisinin kendisi karmaşık bir gelişimi yansıtıyor. OtterCookie, Windows, macOS ve Linux’u kapsayan çapraz platform yeteneklerine sahip, birleşik bir bilgi hırsızı ve uzaktan erişim truva atı olarak çalışır.

Kötü amaçlı yazılım, bir Node.js işlemi içinde yürütüldükten sonra sanal makineleri ve sanal alanları tespit etmek için ilk ortam kontrollerini gerçekleştirir, etkilenen ana bilgisayarın parmak izlerini alır ve ardından komut ve kontrol sunucularıyla çift yönlü iletişim kurar.

Bu tespit-kaçınma yaklaşımı, kötü amaçlı yazılımın, güvenlik araştırmacılarının genellikle çalıştığı analist ortamları yerine yalnızca yasal geliştirici makinelerinde tam olarak etkinleştirilmesini sağlar.

Enfeksiyon ve Kalıcılık Mekanizmaları

Enfeksiyon mekanizması titiz bir mühendislik göstermektedir. Kötü amaçlı npm paketleri, geliştiriciler npm kurulumunu çalıştırdığında çalıştırılan bir kurulum sonrası komut dosyası kullanır.

Bu komut dosyası, “model” adlı bir JSON alanına gömülü JavaScript kodunu döndüren axios’u kullanarak https://tetrismic.vercel.app/api/ipcheck adresindeki tehdit aktörü uç noktasını çağırır.

Paket daha sonra bu alanı çıkarır ve kurbanın Node.js süreci içinde eval ile çalıştırarak saldırganlara tam Node.js ayrıcalıkları verir ve rastgele kod yürütülmesine izin verir.

Hazırlama sunucusu main.js yükünü sürekli olarak güncelleyerek tehdit aktörlerinin kötü amaçlı yazılım çeşitlerini birden fazla pakette dönüşümlü olarak kullanmasına ve hedef başına yanıtları özelleştirmesine olanak tanır.

OtterCookie bir kez konuşlandırıldığında birden fazla mekanizma aracılığıyla kalıcılık sağlar. Windows sistemlerinde kötü amaçlı yazılım, oturum açıldığında en yüksek ayrıcalıklarla çalışan “NodeUpdate” adlı zamanlanmış görevler oluşturur ve HKCU\Run\NodeHelper altına kayıt defteri girdileri ekler.

Gerçek yük, child_process.spawn’ı kullanarak, her biri stdio’nun yok sayılacak şekilde yeniden yönlendirildiği ve windowsHide bayrağının true olarak ayarlandığı ayrı bir Node.js işlemi olarak çalışan üç eşzamansız çalışan işlemi oluşturur.

Bu işlemler daha sonra kendilerini yeniden gözden geçirerek, ilk yükleyici çıktıktan sonra arka planda çalışmaya devam etmelerine olanak tanır.

Kötü amaçlı yazılım, GlobalKeyboardListener modülünü kullanarak eş zamanlı olarak sistem genelinde tuş kaydı gerçekleştiriyor, her 5 saniyede bir bağlı tüm monitörlerden ekran görüntüleri yakalıyor, pano içeriklerini süzülüyor ve kripto para cüzdanı verilerini ve kimlik bilgilerini toplamak için dosya sistemini “.env”, “metamask”, “phantom” ve “seed” gibi kalıplarla eşleşen dosyalar için yinelemeli olarak tarıyor.

Kapsamlı veri toplama yetenekleri tarayıcı profillerini de kapsar. Kötü amaçlı yazılım, özellikle üç işletim sistemindeki Chrome ve Brave tarayıcılarını hedef alıyor ve her tarayıcının profil dizininde bulunan “Oturum Açma Verileri” SQLite veritabanını sorgulayarak depolanan oturum açma kimlik bilgilerine erişiyor.

Ek olarak, MetaMask, Phantom, Keplr ve Web3 geliştiricileri tarafından yaygın olarak kullanılan düzinelerce diğerleri dahil olmak üzere en az 42 farklı kripto para cüzdanı tarayıcı uzantısını tanımlar ve bu uzantılardan veri çıkarır.

Toplanan tüm veriler, hem veri toplamayı hem de görevlendirmeyi yöneten, tehdit aktörlerinin uzaktan komutlar vermesine ve kalıcı etkileşimli kabuk erişimini sürdürmesine olanak tanıyan 144.172.104.117 IP adresindeki komuta ve kontrol altyapısı üzerinden akar.

Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.