Tarihin en büyük tedarik zinciri saldırısı olarak adlandırılan saldırganlar, bir kimlik avı saldırısında bakımcıların hesaplarından ödün verdikten sonra haftalık 2,6 milyardan fazla indirme ile NPM paketlerine kötü amaçlı yazılımlar enjekte ettiler.
Bu tedarik zinciri saldırısında hesapları kaçırılan paket bakımcılarından biri, olayı bugün daha önce doğruladı, uzlaşmanın farkında olduğunu ve kimlik avı e-postasının destekten geldiğini eklediğini belirtti. [at] NPMJS [dot] Yardım, meşru NPMJS.com etki alanını taklit eden bir web sitesine ev sahipliği yapan bir alan.
E -postalarda saldırganlar, hedeflenen bakımcıların hesaplarının 10 Eylül 2025’te, onları kimlik avı sitelerine yönlendiren bağlantıyı tıklamalarını sağlamak için korkutucu bir taktik olarak kilitleneceğini tehdit etti.
“Hesap güvenliği konusundaki taahhüdümüzün bir parçası olarak, tüm kullanıcıların iki faktörlü kimlik doğrulama (2FA) kimlik bilgilerini güncellemelerini talep ediyoruz. Kayıtlarımız, son 2FA güncellemenizden bu yana 12 aydan fazla olduğunu gösteriyor.”
“Hesabınızın güvenliğini ve bütünlüğünü korumak için, bu güncellemeyi en kısa sürede tamamlamanızı rica ediyoruz. Uslu 2FA kimlik bilgilerine sahip hesapların, yetkisiz erişimi önlemek için 10 Eylül 2025’ten itibaren geçici olarak kilitleneceğini lütfen unutmayın.”
Tedarik zinciri saldırısını analiz eden Aikido Security’ye göre, tehdit aktörleri kontrolü ele geçirdikten sonra paketleri güncelledi, ağ trafiği ve uygulama API’lerini ele geçirebilen dizinler.js dosyalarına tarayıcı tabanlı bir önleme görevi gören kötü amaçlı kod enjekte etti.
Kötü niyetli kod, yalnızca Web üzerinden uzlaşmış uygulamalara erişen bireyleri etkiler, daha sonra saldırgan kontrollü cüzdan adreslerine yönlendirilen kripto para birimi adreslerini ve işlemleri izler. Bu, işlemin amaçlanan adrese gönderilmek yerine saldırganlar tarafından kaçırılmasına neden olur.
Kötü amaçlı yazılım, Ethereum, Bitcoin, Solana, Tron, Litecoin ve Bitcoin Nakit Cüzdan Adresleri veya Transferlerini izleyerek Web tarayıcısına enjekte ederek çalışır. Kripto işlemleri ile ağ yanıtlarında, varış noktalarını saldırgan kontrollü adreslerle ve takas işlemlerini imzalamadan önce değiştirir.
Şimdiye kadar toplu olarak ele geçirilen paketlerin her hafta 2,6 milyardan fazla indirmesi var:
- Backslash (haftada 0.26m indirme)
- Tebeşir-Teza (Haftada 3.9m indirme)
- Destekler-HyperLinks (Haftada 19.2m indirme)
- HAS-ANSI (haftada 12.1m indirme)
- Simple-Swizzle (haftada 26.26m indirme)
- Renk Stresi (Haftada 27.48m indirme)
- Hata-EX (haftada 47.17m indirme)
- Renk adı (haftada 191.71m indirme)
- IS-SAYISH (Haftada 73.8m indirme)
- Slice-ANSI (haftada 59.8m indirme)
- Renk Kabulü (Haftada 193.5m indirme)
- Wrap-ansi (haftada 197.99m indirme)
- ANSI-REGEX (Haftada 243.64m indirme)
- Renkleri Destekler (Haftada 287.1m indirme)
- Strip-ANSI (haftada 261.17m indirme)
- Tebeşir (haftada 299.99m indirme)
- Hata ayıklama (haftada 357.6m indirme)
- ANSI tarzı (haftada 371.41m indirme)
“Paketler, tarayıcıdaki kripto ve Web3 etkinliğini sessizce engelleyen, cüzdan etkileşimlerini manipüle eden ve ödeme hedeflerini yeniden yazacak şekilde, bir web sitesinin istemcisinde yürütülecek bir kod parçası içerecek şekilde güncellendi.
“Tehlikeli yapan şey, birden çok katmanda çalışmasıdır: web sitelerinde gösterilen içeriği değiştirmek, API çağrılarına müdahale etmek ve kullanıcıların uygulamalarının imzaladıklarına inandıkları şeyleri değiştirmek.”
Bu tedarik zinciri saldırısı, son birkaç ay içinde çeşitli tanınmış JavaScript kütüphanelerinin geliştiricilerini hedefleyen bir dizi benzer saldırıyı takip ediyor.
Örneğin, Temmuz ayında, saldırganlar haftalık 30 milyondan fazla indirme olan Eslint-Config-Prettier’i tehlikeye atarken, Mart ayında yaygın olarak kullanılan diğer on NPM kütüphanesi kaçırıldı ve infoksörlere dönüştürüldü.
Bu gelişmekte olan bir hikaye …
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.