Yazılım güvenlik firması Socket tarafından, Kuzey Koreli tehdit aktörlerinin devam eden Bulaşıcı Mülakat saldırılarını önemli ölçüde artırdığını ortaya koyan bir güvenlik uyarısı yayınlandı. Şimdilerde, JavaScript geliştiricilerinin kod paylaştığı ve indirdiği popüler yazılım platformu npm kayıt defterini, 10 Ekim 2025’ten bu yana yaklaşık 200 yeni kötü amaçlı paketle dolduruyorlar. Socket’in araştırmasına göre saldırı, sahte iş görüşmeleri ve “test atamaları” yoluyla blockchain ve Web3 geliştiricilerini hedef alıyor.
Daha ayrıntılı incelemeler, bu yeni kötü amaçlı paketlerin halihazırda 31.000’den fazla kez indirildiğini ve tehlikeli OtterCookie kötü amaçlı yazılımını gizlice yüklemek üzere tasarlandığını ortaya çıkardı.
Geçmiş Saldırılara Bağlanma
Bu kampanya, Hackread.com tarafından kapsanan daha önceki Bulaşıcı Röportaj saldırılarının devamı olup, Lazarus Grubunun BeaverTail kötü amaçlı yazılımını dağıtmak için sahte iş teklifleri ve kötü amaçlı video konferans uygulamaları (FCCCall gibi) kullandığı kampanyaya (Eager Crypto Beavers olarak da bilinir) ilişkin 2024 raporu da dahil.
Silent Push, Nisan 2025’te bu kampanyayı Lazarus Grubu’na da bağladı ve iş arayanları cezbetmek için yapay zeka tarafından oluşturulan çalışan görsellerini ve sahte şirketleri (BlockNovas LLC) kullanmalarını ayrıntılarıyla anlattı. Cisco Talos daha sonra BeaverTail’in işlevlerini OtterCookie ile birleştirdiğine dair kanıt buldu. Socket’in keşfi, saldırganların aynı kötü amaçlı yazılım ailesini konuşlandırarak bu kampanyayı sürdürdüğünü doğruladı.
Üçlü Tehdit: GitHub, Vercel ve Kötü Amaçlı Yazılım
Socket’in blog gönderisine göre saldırganlar, kötü amaçlı yazılımlarını yaymak için akıllı, çok parçalı bir sistem kullanıyor. İlk olarak, npm kayıt defterindeki kötü amaçlı kod paketlerini (tailwind-magic, node-tailwind ve react-modal-select gibi) gizleyerek zararsız yardımcı araçlar gibi görünürler. Bir kurban sahte bir paket yüklediğinde, saldırının bir sonraki bölümünü başlatmak için gizlice Vercel’deki (tetrismicvercelapp olarak izlenen) geçici bir çevrimiçi depolama noktasına ulaşır.
Bu Vercel sitesi daha sonra GitHub’daki gizli bir hesaptan (özellikle şu şekilde izlenen) son, kötü amaçlı kodu alır: stardev091418 deposu vardı ve o zamandan beri kaldırıldı). Altyapı ayrı bir sunucuya dayanır (IP adresi tarafından izlenir) 144.172.104.117) bir makinenin güvenliği ihlal edildiğinde veri toplama işlemini gerçekleştirmek için.
Saldırganların, kötü amaçlı paketlerin meşru görünmesini sağlamak için kripto temalı bir web sitesinin klonlanmış versiyonu da dahil olmak üzere sahte projeler kullandıklarını belirtmekte fayda var.
Kötü Amaçlı Yazılım Sırlarınızı Nasıl Çalıyor?
OtterCookie (BeaverTail’in bir çeşidi), büyük miktarda kişisel veriyi çalmak için tasarlanmıştır. Kurbanın bilgisayarına bulaştıktan hemen sonra, öncelikle güvenlik uzmanları tarafından analiz edilip edilmediğini kontrol ediyor ve her şey net görünüyorsa bilgisayar korsanlarının sunucusuna geri bağlanıyor.
Bu bağlantı, saldırganlara raporun “uzak kabuk” olarak adlandırdığı şeyi sağlıyor ve temel olarak virüslü makinenin kontrolünü uzaktan ele geçirmelerine olanak tanıyor. Çok özellikli kötü amaçlı yazılım daha sonra panoya kopyalanan her şeyi sürekli olarak çalmak, keylogging yapmak, ekran görüntüleri yakalamak ve değerli belgeleri taramak dahil olmak üzere işine başlıyor. Ayrıca Windows, macOS ve Linux bilgisayarlardaki tarayıcı kimlik bilgilerini ve kripto para birimi cüzdan verilerini de arar.
Socket’in Tehdit Araştırma Ekibi şu sonuca vardı: “Bu sürekli tempo, Bulaşıcı Röportajı npm’den yararlanan en verimli kampanyalardan biri haline getiriyor.”
Uzman Görüşü:
Socket’in araştırmasını inceleyen güvenlik uzmanları, bu Kuzey Kore operasyonunun ne kadar organize ve ısrarcı olduğuna vurgu yaparak yorumlarını Hackread.com’a özel olarak paylaştı.
Black Duck Çözüm Yönetimi Kıdemli Direktörü Collin Hogue-Spears, kampanyanın oldukça yapılandırılmış ve profesyonel olduğunu belirtti. “Bulaşıcı Röportaj, tek seferlik bir arka kapı değil, endüstriyelleştirilmiş bir yazılım tedarik zinciri kampanyasıdır” dedi.
Bilgisayar korsanlarının kaynak kontrolü için GitHub’u, veri yükü hazırlama için Vercel’i, dağıtım için npm’yi ve sızma için ayrı bir C2 katmanını nasıl kullandığını vurguladı ve bu da saldırının modüler doğasını gösterdi. Hogue-Spears, kötü niyetli bir ‘eve götürme testinin’ saldırganlara “içeriden birinin maaş bordronuzda görünmeden sahip olabileceği erişimi” verebileceği konusunda uyardı.
Cequence Security’nin Baş Bilgi Güvenliği Sorumlusu Randolph Barr da bu düşünceyi yineleyerek saldırganların meşru geliştirme ekiplerini taklit ettiğine dikkat çekti. Şunu gözlemledi: “Basitleştirilmiş bir yazılım geliştirme yaşam döngüsü gibi görünüyor, ancak ürün özellikleri yerine kötü amaçlı yazılımlar için.” Bu saldırganların açık geliştirici sistemlerini kullanarak “nispeten az sorunla büyük ölçekte kötü amaçlı güncellemeler gönderebileceğini” vurguladı.
Sectigo Kıdemli Üyesi Jason Soroko, “kötü amaçlı yazılımlar için basitleştirilmiş yazılım geliştirme yaşam döngüsü” teriminin özü itibarıyla doğru olduğunu söyleyerek bu karşılaştırmayı destekledi. Operatörlerin, teslimatı yükten ayırmak ve aynı temel kötü amaçlı yazılımı hızla birçok tuzağa klonlamak gibi “çevikliği ve hayatta kalma kabiliyetini en üst düzeye çıkaran” modellere öncelik verdiğini belirtti.