Siber güvenlik araştırmacıları, kimlik bilgileri hırsızlığını kolaylaştırmak için npm kayıt defterine iki düzineden fazla paket yayınlayan, “sürekli ve hedefli” hedef odaklı kimlik avı kampanyası olarak tanımlanan şeyin ayrıntılarını açıkladı.
Socket’e göre, altı farklı npm takma adından 27 npm paketinin yüklenmesini içeren etkinlik öncelikle ABD ve Müttefik ülkelerdeki kritik altyapıya yakın kuruluşlardaki satış ve ticari personeli hedef aldı.
Araştırmacılar Nicholas Anderson ve Kirill Boychenko, “Beş aylık bir operasyon, 27 npm paketini, belge paylaşım portallarını ve Microsoft oturum açma işlemlerini taklit eden, tarayıcı tarafından çalıştırılan yemler için dayanıklı barındırmaya dönüştürdü ve üretim, endüstriyel otomasyon, plastik ve sağlık hizmetlerinde kimlik bilgileri hırsızlığı için 25 kuruluşu hedef aldı.” dedi.
Paketlerin adları aşağıda listelenmiştir –
- adril7123
- ardril712
- arrdril712
- androidvoues
- Varlıklar
- sertleşme
- doğrulama
- doğrulama
- hata
- erüifikasyon
- hgfiuythdjfhgff
- homiersla
- houimlogs22
- iuythdjfghgff
- iuythdjfhgff
- iuythdjfhgffdf
- iuythdjfhgffs
- iuythdjfhgffyg
- jwoiesk11
- modüller9382
- onedrive doğrulaması
- sarrdril712
- scriptstierium11
- güvenli-belgeler-uygulaması
- senkronizasyon365
- tetrafikasyon
- vampuleerl
Kampanyanın nihai amacı, kullanıcıların paketleri yüklemesini zorunlu kılmak yerine, npm’yi ve paket içerik dağıtım ağlarını (CDN’ler) barındırma altyapısı olarak yeniden kullanmak ve bunları, doğrudan kimlik avı sayfalarına yerleştirilmiş güvenli belge paylaşımının kimliğine bürünen istemci tarafı HTML ve JavaScript cazibesini sunmak için kullanmaktır; bunun ardından kurbanlar, formda önceden doldurulmuş e-posta adresiyle Microsoft oturum açma sayfalarına yönlendirilir.
Paket CDN’lerin kullanımı çeşitli avantajlar sunar; bunların en önemlisi meşru bir dağıtım hizmetini yayından kaldırmalara karşı dayanıklı bir altyapıya dönüştürme yeteneğidir. Ayrıca kütüphaneler çekilse bile saldırganların diğer yayıncı takma adlarına ve paket adlarına geçiş yapmasını kolaylaştırıyor.
Paketlerin, botları filtrelemek, sanal alanlardan kaçınmak ve kurbanları tehdit aktörleri tarafından kontrol edilen kimlik bilgisi toplama altyapısına götürmeden önce fare veya dokunma girişi gerektirmesi de dahil olmak üzere, analiz çabalarını zorlamak için müşteri tarafında çeşitli kontroller içerdiği tespit edildi. Otomatik incelemeyi daha da zorlaştırmak için JavaScript kodu da gizlenmiş veya büyük ölçüde küçültülmüştür.
Tehdit aktörü tarafından benimsenen bir diğer önemli anti-analiz kontrolü, gerçek kullanıcıların görüş alanından gizlenen ancak tarayıcılar tarafından doldurulması muhtemel bal küpü form alanlarının kullanımıyla ilgilidir. Bu adım, saldırının daha fazla ilerlemesini önleyen ikinci bir savunma katmanı görevi görür.
Socket, bu paketlere yerleştirilen alan adlarının, açık kaynaklı bir kimlik avı kiti olan Evilginx ile ilişkili ortadaki düşman (AitM) kimlik avı altyapısıyla örtüştüğünü söyledi.
Bu, npm’nin kimlik avı altyapısına dönüştürüldüğü ilk sefer değil. Yazılım tedarik zinciri güvenlik firması, Ekim 2025’te, kimlik bilgisi toplama saldırıları için bilinmeyen tehdit aktörlerinin 175 kötü amaçlı paket yüklediği Beamglea adlı bir kampanyanın ayrıntılarını açıkladı. Son saldırı dalgasının Beamglea’dan farklı olduğu değerlendiriliyor.
Socket, “Bu kampanya aynı temel stratejiyi takip ediyor ancak farklı dağıtım mekanizmalarıyla” dedi. “Minimal yönlendirme komut dosyaları göndermek yerine, bu paketler, bir sayfa bağlamına yüklendiğinde çalışan, yerleşik bir HTML ve JavaScript paketi olarak bağımsız, tarayıcı tarafından yürütülen bir kimlik avı akışı sunuyor.”
Dahası, kimlik avı paketlerinin Avusturya, Belçika, Kanada, Fransa, Almanya, İtalya, Portekiz, İspanya, İsveç, Tayvan, Türkiye, Birleşik Krallık ve ABD’deki imalat, endüstriyel otomasyon, plastik ve polimer tedarik zincirleri ve sağlık sektörlerinde hesap yöneticileri, satış ve iş geliştirme temsilcilerinde çalışan belirli kişilere bağlı 25 e-posta adresini sabit kodladığı tespit edildi.
Saldırganların e-posta adreslerini nasıl ele geçirdiği şu anda bilinmiyor. Ancak hedeflenen firmaların çoğunun Interpack ve K-Fair gibi büyük uluslararası ticari fuarlarda bir araya geldiği göz önüne alındığında, tehdit aktörlerinin bu sitelerden bilgileri alıp genel açık web keşifleriyle birleştirmiş olabileceğinden şüpheleniliyor.
Şirket, “Birçok durumda hedef konumlar şirket genel merkezlerinden farklılık gösteriyor; bu da tehdit aktörünün yalnızca kurumsal BT yerine bölgesel satış personeline, ülke yöneticilerine ve yerel ticari ekiplere odaklanmasıyla tutarlı” dedi.
Tehdidin oluşturduğu riske karşı koymak için sıkı bir bağımlılık doğrulaması uygulamak, geliştirme dışı bağlamlardan gelen olağandışı CDN isteklerini günlüğe kaydetmek, kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılmak ve kimlik doğrulama sonrası şüpheli olayları izlemek çok önemlidir.
Bu gelişme, Socket’in npm, PyPI, NuGet Gallery ve Go modül indekslerinde, erken algılamayı atlatmak ve wget ve curl gibi standart araçları kullanarak yürütülebilir kodu çalışma zamanında getirmek için gecikmeli yürütme ve uzaktan kumandalı kill switch’ler gibi teknikler kullanarak yıkıcı kötü amaçlı yazılımlarda istikrarlı bir artış gözlemlediğini söylemesinin ardından geldi.
Araştırmacı Kush Pandya, “Diskleri şifrelemek veya ayrım gözetmeksizin dosyaları yok etmek yerine, bu paketler cerrahi olarak çalışmaya eğilimlidir” dedi.
“Yalnızca geliştiriciler için önemli olan şeyleri silerler: Git depoları, kaynak dizinleri, yapılandırma dosyaları ve CI derleme çıktıları. Genellikle bu mantığı diğer işlevsel kod yollarıyla harmanlıyorlar ve yürütmek için standart yaşam döngüsü kancalarına güveniyorlar; bu, kötü amaçlı yazılımın hiçbir zaman uygulamanın kendisi tarafından açıkça içe aktarılmasına veya çağrılmasına gerek kalmayacağı anlamına geliyor.”