Popüler NPM paketi ”, arka kapı kötü amaçlı yazılımları enjekte eden ve saldırganlara tehlikeye atılan cihazlara tam erişim sağlayan bir tedarik zinciri saldırısında tehlikeye atılmıştır.
Bu, bakıcı hesapları kimlik avı ile kaçırıldıktan sonra gerçekleşti, ardından birkaç saat boyunca fark edilmeyen yetkisiz sahip değişiklikleri izledi ve potansiyel olarak yeni sürümleri indiren birçok geliştiriciyi tehlikeye attı.
‘IS’ paketi, çok çeşitli tür kontrolleri ve değer doğrulama işlevleri sağlayan hafif bir JavaScript yardımcı kütüphanesidir.
Yazılım, NPM Paket Dizininde haftalık 2,8 milyondan fazla indirmeye sahiptir. Geliştirme araçlarında, kütüphaneleri test eden, oluşturma sistemleri ve arka uç ve CLI projelerinde düşük seviyeli bir hizmet bağımlılığı olarak yaygın olarak kullanılır.
19 Temmuz 2025’te, paketin birincil bakımcısı John Harband, 3.3.1 ila 5.0.0 sürümlerinin kötü amaçlı yazılım içerdiğini ve tehdit aktörlerinin NPM’ye göndermesinden yaklaşık 6 saat sonra çıkarıldığını duyurdu.
Bu, sahte alan adını kullanan aynı NPM tedarik zinciri saldırısının sonucuydu.[.]com ‘Bakımcı kimlik bilgilerini kapmak ve ardından popüler paketlerin bağcıklı sürümlerini yayınlamak için.
Ayrıca, ‘aşağıdaki paketlerin aynı saldırıdan ödün verilen kötü amaçlı yazılımları ittiği doğrulandı:
- ESLINT-CONFIG-PRETTIER (8.10.1, 9.1.1, 10.1.6, 10.1.7)
- ESLINT-Plugin-Prettier (4.2.2, 4.2.3)
- Synckkit (0.11.9)
- @pkgr/core (0.2.8)
- Mahkumlar-Postinstall (0.3.1)
- Got-Fetch (5.1.11, 5.1.12)
Socket, ‘olduğunu’, websocket tabanlı bir arka kapı açan ve uzaktan kod yürütmeyi sağlayan platformlar arası bir JavaScript kötü amaçlı yazılım yükleyicisi içerdiğini bildirir.
Soket, “Etkin olduktan sonra, ana bilgisayar adını, işletim sistemini ve CPU ayrıntılarını toplamak için düğümün işletim sistemi modülünü sorguluyor ve tüm çevre değişkenlerini process.env’den yakalıyor.”
Diyerek şöyle devam etti: “Daha sonra bu verileri bir WebSocket bağlantısına yaymak için WS kitaplığını dinamik olarak içe aktarır.”
“Soket üzerinden alınan her mesaj, tehdit oyuncusuna anında, etkileşimli bir uzak kabuk vererek yürütülebilir JavaScript olarak ele alınır.”
Araştırmacılar ayrıca, web tarayıcılarında depolanan hassas bilgileri hedefleyen ‘Scavanger’ adı verilen bir Windows Infostealer’ı bularak ‘Eslint’ ve paketlerin geri kalanında yükü analiz ettiler.
Kötü amaçlı yazılım, dolaylı syscalls, şifreli komut ve kontrol (C2) iletişim gibi kaçınma mekanizmalarına sahiptir, ancak bayrak manipülasyonu nedeniyle kromdaki güvenlik uyarılarını tetikleyebilir.
Saldırı modeline dayanarak, tehdit aktörleri ek koruyucu kimlik bilgilerini tehlikeye atmış olabilir ve yeni yazılım paketlerinde daha gizli yükler denemeye hazırlanıyor olabilir.
Bunu önlemek için, koruyucular şifrelerini sıfırlamalı ve tüm jetonları derhal döndürmeli ve geliştiriciler yalnızca 18 Temmuz 2025’ten önce bilinen bilinen sürümleri kullanmalıdır.
Otomatik güncelleme kapatılmalı, kilit donanımları belirli bağımlılık sürümlerinde sürümleri dondurmak için kullanılabilir.
İşinizi etkilemeden önce gerçek zamanlı olarak ortaya çıkan tehditleri içerir.
Bulut algılama ve yanıtının (CDR) güvenlik ekiplerine bu pratik, saçma rehberde ihtiyaç duydukları avantajı nasıl verdiğini öğrenin.