ANAHTAR ÖZET NOKTALARI
- Güvenliği ihlal edilmiş npm Paketleri: 20 Aralık 2024’te saldırganlar, popüler npm paketlerini (@rspack/core, @rspack/cli ve “vant) tehlikeye atmak için ele geçirilen bir npm jetonunu kullanarak güncellemelerine kötü amaçlı kod enjekte etti.
- Monero Madencisi Konuşlandırıldı: Gizlenmiş komut dosyalarında gizlenen kötü amaçlı kod, XMRig Monero kripto para madencisini konuşlandırarak harici bir sunucuya bağlandı ve saldırganlar için madencilik yaptı.
- Otomatik Algılama: Sonatype’in kötü amaçlı yazılım tespit sistemleri, kötü amaçlı sürümleri hızlı bir şekilde tespit edip engelleyerek kullanıcıları Nexus Depo Güvenlik Duvarı aracılığıyla korudu.
- Yayınlanan Yamalar: Hem RSpack hem de Vant, temiz güncellemeler (Rspack v1.1.8 ve Vant v4.9.15) yayınlayarak ve gelişmiş güvenlik önlemleri uygulayarak ihlali giderdi.
- Vurgulanan Açık Kaynak Riskleri: Sonatype, açık kaynaklı kötü amaçlı yazılımların %98,5’inin npmjs.com’u hedef aldığını bildiriyor ve düzenli güncellemeler, yamalar ve uygun güvenlik çözümlerine duyulan ihtiyacı vurguluyor.
Yazılım tedarik zinciri yönetimi platformu Sonatype’ın Hackread.com ile paylaştığı son araştırması, 20 Aralık 2024’te popüler npm paketlerinin @rspack/core ve @rspack/cli’nin güvenliği ihlal edilmiş bir npm tokenına erişen saldırganlar tarafından ele geçirildiğini ortaya koyuyor.
Sonatype’in blog yazısına göre, bu saldırganlar daha sonra bu paketlerin kötü amaçlı versiyonlarını (1.1.7) yayınladılar. Sonatype’in otomatik kötü amaçlı yazılım tespit sistemleri, bu kötü amaçlı sürümleri hızlı bir şekilde yakaladı ve Nexus Repository Firewall kullanan kullanıcılar için bunları engelledi.
Bu paketlere ek olarak Sonatype’in derin ikili analiz teknolojisi, tehlikeye atılmış başka bir npm paketi olan “vant”ı da keşfetti. “Vant”ın birkaç yeni versiyonu uzlaşma işaretleri gösterdi ve daha sonra engellendi. Araştırmacılar, aynı gün meydana gelen her iki saldırıdan da ortak bir tehdit aktörünün sorumlu olduğundan şüpheleniyor.
Ele Geçirilmiş npm Tokenları Aracılığıyla Ele Geçirildi
Sonatype’in otomatik kötü amaçlı yazılım tespit sistemleri, @rspack/core ve @rspack/cli’nin kötü amaçlı sürümlerini (1.1.7) npmjs.com kayıt defterinde yayınlandıktan kısa bir süre sonra tespit etti. Bilginiz olsun diye söylüyorum, Rspack, Rust’ta yazılmış popüler bir JavaScript paketleyicisidir ve npm paketleri yaygın olarak kullanılmaktadır. @rspack/core haftalık olarak 394.000’e yakın indirme alıyor ve @rspack/cli haftada 145.000’den fazla indirme alıyor.
Daha ayrıntılı incelemeler, bu paketlerin kötü amaçlı sürümlerinin dist/utils/config.js dosyasında oldukça karmaşık kodlar içerdiğini ortaya çıkardı. Bu kodun belirgin bir amacı yoktu ve önceki sürümlerde mevcut değildi.
Kod Monero Crypto Miner’ı çalıştırıyor
Gizlenmiş kod, hedef sisteme bilinen bir Monero madencisi “XMRig” yerleştirdi. Bu madenci, saldırgan için kripto para madenciliği yapıyor. Kod ayrıca hxxps://80.78.2872/tokens adresine bağlanmaya çalışır. Kodda bulunan bir Monero adresi muhtemelen çıkarılan XMR’yi topluyor. Ancak bu yazının yazıldığı sırada adresle pek fazla aktivite ilişkilendirilmemişti.
Vant Paketi de Tehlikede
Sonatype araştırmacıları Jeff Thornhill ve Adam Reynolds’un araştırması, “vant” paketinin güvenliği ihlal edilmiş birkaç versiyonunu keşfetti. Vant’ın mobil web uygulamaları için popüler, hafif bir Vue UI kütüphanesi olduğunu ve npmjs.com üzerinden her hafta yaklaşık 46.000 indirme aldığını belirtmekte fayda var. “Vant”ın güvenliği ihlal edilmiş sürümleri şunları içerir: 2.13.3, 2.13.4, 2.13.5, 3.6.13, 3.6.14, 3.6.15, 4.9.11, 4.9.12, 4.9.13 ve 4.9.14.
Yama Mevcut
Hem Rspack hem de Vant, bu uzlaşmayı hızla ele aldı ve yamaları yayınladı. Rspack, kötü amaçlı kod içermeyen 1.1.8 sürümünü yayınladı. Vant, güvenlik sorununu da ele alan 4.9.15 sürümüne sahip bir güncelleme yayınladı.
Her ikisi de uzlaşmaya ilişkin açıklamalarda bulundu. Rspack Project, bu olayın neden olduğu risklerden dolayı özür dileyerek “daha sıkı token yönetimi protokolleri uygulayacaklarını ve güvenlik inceleme süreçlerimizi geliştireceklerini” taahhüt etti. Buna karşılık Vant, “sorunu düzeltmek için önlemler aldıklarını ve en son sürümü yeniden yayınladıklarını” doğruladı.
Sonatype’nin 2024 Açık Kaynaklı Kötü Amaçlı Yazılım raporu, açık kaynaklı kötü amaçlı yazılımların %98,5’inin npmjs.com kayıt defterinde yayınlandığını ve bunun da saldırganlar için popüler bir hedef haline geldiğini ortaya koyuyor. Güvende kalmak için yazılımı güncel tutun, Rspack ve Vant’tan yamalar uygulayın ve açık kaynak paketlerdeki kötü amaçlı yazılımları tespit etmek için güvenilir güvenlik çözümleri kullanın.
İLGİLİ KONULAR
- NPM Typosquatting, Meşru Paket aracılığıyla r77 Rootkit’i Dağıtıyor
- PyPI Kötü Amaçlı Yazılım, Özel Anahtarları Çalmak İçin Kripto Cüzdan Aracı Olarak Kullanılıyor
- “aiocpa” Python Paketinin Kripto Para Bilgi Hırsızı Olduğu Ortaya Çıktı
- Luna Grabber Kötü Amaçlı Yazılımı, npm Paketleri Aracılığıyla Roblox Geliştiricilerini Etkiliyor
- Protestware Gazze, Ukrayna’da Barış Çağrısı Yapmak İçin NPM Paketlerini Kullanıyor