.jpg)
2017’den beri bilgisayar korsanları, başlıklarındaki büyük harfleri kaldırarak Node Package Manager’daki (npm) yasal paketleri taklit edebildiler.
Checkmarx tarafından yakın zamanda yayınlanan bir araştırmaya göre, npm yıllarca işletmelerin yanlışlıkla kötü amaçlı yazılım indirmesine yol açabilecek bu yazım hatası biçimini hesaba katmamıştı. Kayıt defteri güvenlik açığını hafta sonu yamaladı, ancak kuruluşlar, değişiklik yapılmadan önce indirmiş olabilecekleri kötü amaçlı paketlerin farkında olmalıdır.
Raporun yazarı, Checkmarx güvenlik araştırmacısı Yehuda Gelb, “Kurmak istediğiniz paketi gerçekten yüklediğinizden emin olmak için, kurduğunuz paketlerin adlarını kontrol etmek her zaman iyidir” diyor. “Ve emin olmak için güvenlik sistemlerine sahip olmak her zaman önemlidir.”
dikkat: küçük harfle yazım
Yazım hatası, siber suçlular meşru Web etki alanlarını kopyalamak için kasıtlı ancak genellikle ince yazım hataları kullandıklarında ortaya çıkar. Örneğin, bir bilgisayar korsanı “Google” kelimesindeki küçük “l” yerine büyük “I” veya iki “o” yerine sıfır kullanabilir.
26 Aralık 2017’de, kayıt defterindeki yazım hatalarını gidermek için npm, adlandırma sisteminde bir değişiklik yaptığını duyurdu. Bu tarihten itibaren paketler sadece küçük harflerle adlandırılabilecektir. Yine de, başlıklarında büyük harfler bulunan binlerce mevcut paketin tamamı kaldı ve yeni paketlerin büyük harf dışında tamamen kopyalanmasını önleyecek hiçbir mekanizma uygulanmadı.
Örneğin, “localforage-memoryStorageDriver” başlıklı ilke değişikliğinden önce oluşturulmuş bir paketi düşünün. Yıllar boyunca, herhangi bir bilgisayar korsanı “localforage-memorystoragedriver” adlı kendi paketini yükleyebilirdi – tamamen aynı yazım ve diğer her şey eşit, tek fark büyük harf olmaması. Farkında olmayan bir kullanıcı yanlışlıkla taklitçiyi indirdiği için affedilir.
Maruz kalan npm Paketleri
Araştırmacılar, çalışmaları sırasında başlıklarında büyük harfler bulunan 3.815 npm paketi buldular.
Bunlardan 1.900’ü küçük harfli yazım hatası riski taşıyordu. Checkmarx’ta bir güvenlik araştırmacısı olan Aviad Gershon, “Paketlerin tümü savunmasız değildi, çünkü bazı durumlarda, küçük paket adları zaten alınmıştı veya bunları kaydetmek mümkün değildi.”
Yine de, son derece popüler bazı paketler açığa çıktı. Araştırmacılar, haftada yaklaşık 200.000 kez indirilen objectFitPolyfill’e işaret etti. Gelb raporda “Toplamda,” diye yazıyordu, “risk altındaki paketlerin indirilme sayısı on milyonları buluyor.”
Artık NPM kusuru düzelttiğine göre, kötü niyetli aktörler yazım hatası yapamaz. Gelb, “Şimdi, tümü küçük harflerden oluşan yeni bir paket yüklerseniz, paket adının mevcut bir pakete çok benzediğini söyleyecektir ve ardından NPM, bu paketi yüklemenize izin vermeyecektir,” diye belirtiyor Gelb.
Typosquatting’in Gerçek Riskleri
Gershon, hileli npm paketlerinin bir kurumsal ağ içindeki bilgisayarları tehlikeye atabileceğini açıklıyor. Kötü paketlerdeki riskler “bilgi hırsızlığından fidye yazılımına, kripto madenciliğine ve hizmet reddine kadar uzanıyor” diyor.
İndirdiklerine dikkat eden bir kuruluş bile hala bir tedarik zinciri sorunuyla karşı karşıyadır. “Paketler ayrıca bir tedarikçinin müşterilerine dağıttığı yazılıma gömülebilir ve bu yazılım zincirin diğer birçok kurbanına bulaşabilir.”
Ve bu nedenle, yazım hatası farkındalığı gereklidir, ancak yeterli değildir.
Gelb, “Neyse ki, pek çok farklı satıcıdan – hatta açık kaynaklı olanlar dahil – yeterince güvenlik çözümü var” diyor.
Gershon, geliştiricilerin paketleri indirmeden önce kalite, güvenlik ve diğer ölçütlere göre değerlendirmelerine olanak tanıyan bir tarayıcı uzantısı olan Overlay’i, yardımcı olabilecek araçlardan birine örnek olarak gösteriyor. “Dolayısıyla, herhangi bir şirket için kolayca erişilebilir olması gereken bir şey.”