
Siber suçluların silahlandırdığı yeni bir saldırı vektörü Google takvimini, kötü amaçlı kodu gizleyen tek bir görünür karakteri içeren sofistike bir şaşkınlık tekniği kullanarak kötü amaçlı yazılım sunmaya davet ediyor.
Bu keşif, tehdit aktörlerinin güvenilir platformlardan yararlanarak geleneksel güvenlik önlemlerini atlamak için taktiklerini nasıl geliştirdiklerini vurgulamaktadır.
Mart 2025’te, Aikido’daki güvenlik araştırmacıları, sistem bilgilerini kontrol ettiği ancak şüpheli kod içeren “OS-Info-Checker-ES6” adlı şüpheli bir NPM paketi keşfetti.
Dikkatlerini çeken şey, kodda sadece dikey bir çubuk karakteri (“|”) gibi görünen şeydi, ama aslında çok daha uğursuz bir şey saklıyordu.

“Keşfettiğimiz büyüleyici – bu tek karakter aslında basit bir boru sembolü değildi, ancak görünmez Unicode özel kullanım alanı (PUA) karakterleri içeriyordu” diye açıkladı araştırmacılar analizlerinde.
Bu PUA karakterleri, özel uygulamalar için Unicode standardında ayrılmıştır ve doğal olarak yazdırılamazdır, bu da onları kötü amaçlı kodları gizlemek için mükemmeldir.
Kod çözüldüğünde, bu görünüşte masum karakter, sonuçta komut ve kontrol işlemleri için Google takvimine bağlanan Base64 kodlu talimatlara dönüştü.
Google Takvim Davetliyor Kötü amaçlı yükü teslim etmeyi
Araştırma, kötü amaçlı yazılımın bir Google takvimi davet URL’si aracılığıyla kötü niyetli yükler almak için tasarlandığını ortaya koydu. Takvim davetiyesi, kod çözüldüğünde kurbanları saldırgan kontrollü bir sunucuya yönlendiren baz 64 kodlu dizeler içeriyordu.

Charlie Eriksen, Siber Güvenlik Haberlerine “Bu, saldırı metodolojisinde ilgili bir evrimi temsil ediyor” dedi. “Milyonlarca tarafından kullanılan güvenilir bir platform olan Google Takvim’den yararlanarak saldırganlar, genellikle şüpheli ekleri işaretleyecek geleneksel e -posta güvenlik önlemlerini atlayabilir.”
Check Point araştırmacıları, siber suçluların doğrudan Google takviminden gönderilmiş gibi görünmesi için siber suçluların e -posta başlıklarını değiştirdiğini belirterek benzer saldırıları bağımsız olarak tanımladılar.
Bir hedef bu takvim davetleriyle etkileşime girdiğinde, kimlik bilgilerini veya finansal bilgileri çalmak için tasarlanmış hileli web sitelerine yönlendirilebilir.
Saldırganlar tek bir pakette durmadı. Güvenlik araştırmacıları bu teknikten etkilenen birden fazla NPM paketi belirledi:
- at atlamak
- Dev-Terverr Görünümü
- Manzaralı
- Görünüm
Tüm bu paketler, daha geniş bir saldırı yüzeyi oluşturarak bağımlılık olarak kötü niyetli “os-info-checker-ES6” nı ekledi.
Kendinizi Korumak
Google, kullanıcıların bu tür kimlik avı’na karşı savunmaya yardımcı olmak için Google takviminde “bilinen gönderenler” ayarını etkinleştirmelerini önererek tehdidi kabul etti. Güvenlik uzmanları da:
- Beklenmedik takvim davetlerinden, özellikle de gelecekte planlananlardan şüphelenmek.
- Davetleri kabul etmeden veya bağlantıları tıklamadan önce gönderenin kimliğini doğrulayın.
- Yama güvenlik açıklarına göre yazılımı güncel tutun.
- Şüpheli takvim davetiyelerini Google Calendar’ın raporlama özelliği aracılığıyla spam olarak bildirin.
Bu saldırı, siber suçluların kötü niyetli yükler sunmak, güvenilir platformlardan yararlanmak ve sofistike şaşkınlık tekniklerini nasıl bulmaya devam ettiğini göstermektedir.
Saldırganlar, tek bir karakter gibi görünen ve Google takvimini bir dağıtım mekanizması olarak kullanan kötü niyetli kodları gizleyerek, hem bireysel kullanıcıları hem de kuruluşları tehlikeye atabilecek yeni bir saldırı vektörü oluşturdular.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri