Bir kimlik avı saldırısında bir bakıcının hesabı tehlikeye atıldıktan sonra bir yazılım tedarik zinciri saldırısının bir parçası olarak birden fazla NPM paketi tehlikeye atılmıştır.
Saldırı, NPM’yi taklit eden bir e -posta mesajı alan Josh Junon’u (diğer adıyla QIX) hedef aldı (“Destek@NPMJS[.]Yetkili bağlantıya tıklayarak 10 Eylül 2025’ten önce iki faktörlü kimlik doğrulama (2FA) kimlik bilgilerini güncellemelerini isteyen yardım “).
Kimlik avı sayfasının, ortak-mainainer’ı kullanıcı adı, şifre ve iki faktörlü kimlik doğrulama (2FA) jetonunu girmeye teşvik ettiği söylenir, sadece ortada bir düşman (AITM) saldırısı ile çalınması ve Rogue sürümünü NPM kayıt defterine yayınlamak için kullanılması için kullanılır.
Toplu olarak haftada 2 milyardan fazla indirme çeken aşağıdaki 20 paket, olayın bir parçası olarak etkilenen doğrulandı –
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- Proto-tinker –[email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
“Herkese üzgünüm, daha fazla dikkat etmeliydim,” dedi Junon Bluesky’deki bir yazıda. “Benim gibi değil; stresli bir hafta geçirdim. Bunu temizlemek için çalışacak.”
Kaynak koduna enjekte edilen gizlenmiş kötü amaçlı yazılımların bir analizi, kripto para işlemi isteklerini engellemek ve hedef cüzdan adresini Levenshtein mesafesini hesaplayarak yakından eşleştiren bir saldırgan kontrollü cüzdanla değiştirecek şekilde tasarlandığını ortaya koymaktadır.
Aikido Security’den Charlie Eriksen’e göre, yük, istekleri ve yanıtları yeniden yazarak kripto para birimi varlıklarını çalmak için ağ trafiğini ve uygulama API’lerini ele geçiren tarayıcı tabanlı bir önleme görevi görüyor. Şu anda saldırının arkasında kimin olduğu bilinmiyor.
Socket, “Yük, bir tarayıcıda çalıştığını onaylamak için Pencerenin TypeF penceresini kontrol ederek başlıyor! == ‘tanımsız’.” Dedi. “Daha sonra pencereye takılır.
“Bu, kötü amaçlı yazılım, son kullanıcıları, tehlikeye atılan kodu içeren bir siteyi ziyaret eden bağlı cüzdanlarla hedeflediği anlamına gelir. Geliştiriciler doğal olarak hedef değildir, ancak bir tarayıcıda etkilenen bir siteyi açarlar ve bir cüzdan bağlarlarsa, onlar da kurban olurlar.”
NPM ve Python Paket Endeksi (PYPI) gibi paket ekosistemleri, popülerlikleri ve geliştirici topluluğundaki geniş erişim nedeniyle tekrarlayan hedefler olarak kalır ve saldırganlar kötü niyetli yükleri zorlamak için bu platformlarla ilişkili güveni kötüye kullanır.
Kötü niyetli paketleri doğrudan yayınlamanın ötesinde, saldırganlar, geliştiricileri kötü amaçlı yazılım yüklemeye kandırmak için yazım hatası veya hatta slopsquatting adı verilen AI-Hallicine bağımlılıkları-hatta sömürmek gibi teknikler kullanmışlardır. Olay bir zamanlar uyanıklık ve sertleştirme CI/CD boru hatlarının kullanılması ve bağımlılıkları kilitleme ihtiyacını gösterir.
ReversingLabs’ın 2025 yazılım tedarik zinciri güvenlik raporuna göre, 2024’teki 23 kripto ile ilgili kötü amaçlı kampanyaların 14’ü NPM’yi hedef aldı ve geri kalanı PYPI ile bağlantılı.
Hacker News’e verdiği demeçte, “Gördüğümüz NPM paketleri tebeşir ve hata ayıklama ile ortaya çıktığımız şey, bugün yazılım tedarik zincirinde ne yazık ki yaygın bir örnektir.” Dedi.
“Kötü niyetli yük, kripto hırsızlığına odaklanmıştı, ancak bu devralma, şu anda kurulmuş olan klasik bir saldırıyı takip ediyor – popüler açık kaynak paketlerini devralarak, rakipler sırları çalabilir, arka fırınları geride bırakabilir ve organizasyonlara sızabilir.”
Diyerek şöyle devam etti: “Bu paketlerin geliştiricisini hedeflemek rastgele bir seçim değildi. Paket devralmalar artık Lazarus gibi gelişmiş kalıcı tehdit grupları için standart bir taktik, çünkü tek bir yetersiz projeye sızarak dünya geliştirici nüfusunun büyük bir kısmına ulaşabileceklerini biliyorlar.”