Siber güvenlik araştırmacıları, NPM ekosistemini hedefleyen büyük ölçekli bir saldırı ortaya çıkardılar ve haftada bir milyonu aşan birleşik indirme sayısı ile 16 popüler React anadil paketinden ödün verdiler.
6 Haziran 2025’te tespit edilen saldırı, daha önce devam eden kampanyada daha önce devam eden kampanyada önemli bir yükselmeyi temsil ediyor ve daha önce rand-user-agent paket.
Sadece saatler boyunca ortaya çıkan bu son ihlal, yaygın olarak kullanılan kütüphanelere kötü niyetli yükler enjekte etti ve bu bağımlılıklara dayanan geliştiriciler ve kuruluşlar için derhal bir risk oluşturdu.
.png
)
Büyük bir tedarik zinciri saldırısı ortaya çıkıyor
Saldırı, 6 Haziran’da GMT 21: 33’te başladı ve 0.2.10 sürümünün yayınlanmasıyla başladı. @react-native-aria/focus.
Saldırgan, saatler içinde, 15 ek paketi sistematik olarak güncelledi, bu da @react-native-aria/utils– @react-native-aria/interactionsVe @gluestack-ui/utilsher birine kötü amaçlı kod yerleştirme.
Gibi dosyalarda boşluk tabanlı şaşkınlıkla gizlenmiş yük lib/commonjs/index.jsönceki olaylarda görülen uzaktan erişim Truva atını (sıçan) yansıtmaktadır.
Yürütüldükten sonra, komut ve kontrol (C2) sunucuları ile iletişim kurar, sistem meta verilerini hasat eder ve dosya yüklemeleri, komut yürütme ve keşif faaliyetlerini sağlar.
Özellikle, kötü amaçlı yazılım, aldatıcı bir yol yoluyla Windows sistemlerinde kalıcılığa neden olur. %LOCALAPPDATA%\Programs\Python\Python3127açık bir uzlaşma işareti.
Kötü amaçlı yükler
Bu kampanya gibi yeni C2 sunucuları tanıtıyor, örneğin http://85.239.62[.]36:3306güncellenmiş sıçan komutlarının yanı sıra ss_info Sistem profili için ve ss_ip Saldırganın gelişen taktiklerini sergileyen harici API’ler aracılığıyla genel IP verilerini almak için.
Bu saldırının ölçeği abartılamaz. Uzlaşmış her bir paket versiyonu ile titizlikle belgelenmiştir. @react-native-aria/button (v0.2.11) @react-native-aria/slider (v0.2.13) “ Saldırgan, sayısız mobil uygulamaya ayrılmaz kritik kullanıcı arayüzü bileşenlerini hedeflemiştir.
Aikido Raporu’na göre, 6 Haziran-7 Haziran tarihleri arasında yer alan güncellemelerin hızlı bir şekilde artması, tespitten önce erişimi en üst düzeye çıkarmayı amaçlayan iyi koordine edilmiş bir operasyon önermektedir.
Bu sürümleri yükleyen geliştiricilere, sıçan daha derin müdahaleleri veya veri açığa çıkmasını kolaylaştırabileceğinden, ortamlarını acilen denetlemeleri istenir.
Güvenlik duvarı günlükleri, tanımlanan kötü niyetli IP’lere bağlantılar için incelenmelidir ve yukarıda belirtilen Python dizinindeki şüpheli dosyaların varlığı, etkilenen sistemlerin derhal izole edilmesini gerektirir.
Bu olay, bağımlılıklara olan güvenin ölçekte silahlandırılabileceği açık kaynaklı tedarik zincirlerinin kırılganlığının altını çizmektedir.
Durum akıcı kaldıkça, ek uzlaşmalar potansiyeli ile siber güvenlik topluluğu yüksek alarmda.
Kuruluşlar bağımlılık taramasına öncelik vermeli, versiyon sabitlemesini zorunlu kılmalı ve bu tür riskleri azaltmak için sağlam izlemeyi benimsemelidir. Aşağıda, bu devam eden tehdidin tanımlanmasına ve yanıtlanmasına yardımcı olmak için uzlaşma göstergeleri (IOCS) bir tablo bulunmaktadır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Detaylar |
|---|---|
| Paketler/Sürümler | @react-native-aria/focus (0.2.10), @react-native-aria/utils (0.2.13), @react-native-aria/overlays (0.3.16), @react-native-aria/interactions (0.2.17), @react-native-aria/toggle (0.2.12), @react-native-aria/switch (0.2.5), @react-native-aria/checkbox (0.2.11), @react-native-aria/radio (0.2.14), @react-native-aria/button (0.2.11), @react-native-aria/menu (0.2.16), @react-native-aria/listbox (0.2.10), @react-native-aria/tabs (0.2.14), @react-native-aria/combobox (0.2.8), @react-native-aria/disclosure (0.2.9), @react-native-aria/slider (0.2.13), @react-native-aria/separator (0.2.7), @gluestack-ui/utils (0.1.16, 0.1.17) |
| Kötü niyetli IPS | 136.0.9[.]8, 85.239.62[.]36 |
| Kalıcılık yolu | %LOCALAPPDATA%\Programs\Python\Python3127 (Windows) |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun