3. taraf risk yönetimi, yönetişim ve risk yönetimi
Kötü amaçlı paketler Kurumsal Ağları Eşleme için Komut Dosyalarını Gizle
Prajeet Nair (@prajeaetspeaks) •
24 Mayıs 2025
Bir hack kampanyası, JavaScript Runtime Environment NPM deposundan 3.000’den fazla kez indirilmiş kötü niyetli keşif senaryoları yayıyor.
Ayrıca bakınız: Ondemand | Üçüncü taraf güvenlik açıklarına yönelik saldırılardan satıcınızın erişimini sağlayın
Socket’in Tehdit Araştırma Ekibinden araştırmacılar, ana bilgisayar adları, IP adresleri, DNS yapılandırmaları, kullanıcı adları ve proje yolları gibi verileri ortaya çıkaran bir “küçük yükleme komut dosyası” taşıyan 60 NPM paketleri tanımladılar.
Socket Perşembe günü yaptığı açıklamada, kampanyanın arkasında kimin “gelecekteki müdahalelere rehberlik edebilecek büyüyen bir geliştirici ve işletme ağları haritası var” dedi.
Keşif senaryosu muhtemelen daha kötü şeylerin habercisidir. NPM Kayıt Defteri “hedefleme sonrası kancalar için korkuluk sunmadığından, yeni atış hesapları, taze paketler, alternatif eksfiltrasyon uç noktaları ve belki de bir hedef listesi tamamlandıktan sonra daha büyük yükler beklediğinden” diye uyardı.
NPM deposu, dikkatsiz kodlama uygulamalarından yararlanan tekrarlayan bir kötü amaçlı paket kaynağıdır. Soket, sadece günler önce, iki yıldan fazla bir süredir tespit edilmeyen ve 6.200’den fazla indirme biriktiren yaygın olarak kullanılan JavaScript çerçeveleri için kötü amaçlı paketlerin bir koleksiyonunu tespit etti. Nisan ayında yazılım tedarik zinciri firması, Beaverail Infostealer’ı dizi doğrulama, günlüğe kaydetme ve hata ayıklama için tasarruf eden 11 npm paketle yayan Kuzey Koreli bilgisayar korsanlarını tespit etti (bakınız: bkz: bkz: Lazarus, Truva Yükleyicileri ile NPM kampanyasını genişletiyor).
Bu kampanyadaki ilk kötü niyetli paket sadece iki hafta önce ortaya çıktı ve depoda soket halka açılmadan sadece saatler önce yeni bir paket ortaya çıktı. Socket, “Komut dosyası pencereleri, macOS veya Linux sistemlerini hedefliyor ve her enfekte her iş istasyonunu veya sürekli entegrasyon düğümünü potansiyel bir değerli keşif kaynağı haline getirerek temel kum havuzu – evioning kontrolleri içeriyor.”
Bir sistem üzerine bir NPM paketi yüklendikten sonra otomatik olarak çalıştırılan komut dosyaları olarak da bilinen yükleme-zaman komut dosyaları. Her paket üç NPM hesabından biri altında yayınlandı: bbbb335656– cdsfdfafd1232436437 Ve sdsds656565her hesapta keşif senaryosunu içeren 20 özdeş paketi dağıtmak.
Paketler dahil seatable– datamart Ve seamless-sppmyhepsi ağ ve ana bilgisayar parmak izi için aynı JavaScript mantığına sahiptir.
Socket, paketleri NPM kayıt defterine bildirdi, ancak canlı kaldıklarını söyledi. Cumartesi itibariyle artık aktif görünmüyorlar.
Soket, geliştiricilere yükleme sonrası kancalar, sert kodlanmış URL’ler ve alışılmadık derecede küçük paket boyutları için tarama yapmasını önerir.