Tehdit aktörleri, NPM paketi koruyucularını hedefleyen bir kimlik avı kampanyasından yararlandı ve bu da yaygın olarak kullanılan JavaScript takım kütüphanelerinin uzlaşmasına neden oldu.
İlk olarak 18 Temmuz 2025’te bildirilen kampanya, meşru NPM iletişimlerini taklit etmek ve hile geliştiricileri kimlik doğrulama belirteçlerini teslim etmek için yazım hatası bir alan adı olan NPNJS.com kullanıyor.
Bu çok aşamalı işlem, kayıt detayları ve bakıcı bilgileri gibi halka açık NPM meta verilerinden kazınan otomatik e-postalarla başlar ve saldırganların popüler depolardan sorumlu yüksek değerli bireylerin hedeflenen listelerini küratörlüğünü yapmasını sağlar.
Kimlik bilgileri toplandıktan sonra, rakipler, GitHub depolarını ve ilişkili kod inceleme süreçlerini atlayarak, kötü amaçlı paket sürümlerini doğrudan NPM kayıt defterine yayınlamak için çalınan NPM jetonlarını kullanırlar.
Bu yaklaşım, kaynak kontrol sistemlerinde karşılık gelen taahhüt veya çekme istekleri görünmediğinden, otomatik izleme araçlarının algılanmasını geciktirdiği için müdahaleleri özellikle gizli hale getirir.
Kimlik avı saldırısı yazımcı alandan sömürülür
Bu kampanyanın önde gelen bir yaralı, Eslint-Config-Prettier ve Eslint-Plugin-Prettier gibi paketlerin sızdığı daha güzel ekosistemi içeriyor.
Bakımcılar, Bogus NPNJS.com alanından bir kimlik avı e -postasının, bir NPM jetonunun çalınmasına yol açtığını ve lekeli sürümlerin yetkisiz yayınlanmasına izin verdiğini doğruladı.
Özellikle, Eslint-Config-Prettier 8.10.1, 9.1.1, 10.1.6 ve 10.1.7 gibi sürümler; ESLINT-Plugin-Prettier 4.2.2 ve 4.2.3; SYNCKIT 0.11.9; @pkgr/çekirdek 0.2.8; ve NAPI-Postinstall 0.3.1’e kötü niyetli yükler enjekte edildi.
Rapora göre, bu değişiklikler, Rundll32 yardımcı programı aracılığıyla bir DLL dosyası, düğüm-gyp.dll yüklemeye çalışan ve etkilenen sistemlerde uzaktan kod yürütülmesini sağlayan Windows’a özgü istismarları içeriyordu.
Kötü amaçlı yazılım tasarımı, Node.js ortamlarındaki bağımlılık çözünürlüğü sırasında keyfi kod yürütebilen ve aşağı akış tüketicilerinin bağımlılık veya yenileme gibi otomatik bağımlılık yöneticilerine bağımlı riskini artırabilen yükleme sonrası komut dosyalarına odaklanmıştır.
Ekosistem çapında çıkarımlar
Fallout, daha güzel ve Eslint entegrasyonları gibi araçların binlerce projeye nüfuz ettiği ve CI/CD boru hatları aracılığıyla “en son” etiketli sürümlerin otomatik olarak yutulmasını kolaylaştırdığı açık kaynaklı tedarik zincirlerinin doğasında var olan güvenlik açıklarının altını çiziyor.
Bu olay, bir ders kitabının kimlik bilgisi-hacim artışını örneklendirir: kimlik avı hasat jetonları, saldırganlar haydut eserler yayınlar ve ekosistemler, sabit yazılımları sıralanmamış bağımlılıklar yoluyla yayar.
Yanıt olarak, etkilenen koruyucu, tehlikeye atılan jetonu hızla iptal etti, tüm kimlik bilgilerini döndürdü, otomatik yükseltmeleri caydırmak için kötü amaçlı sürümleri kullanımdan kaldırdı ve kayıt defterinden lekeli sürümleri temizlemek için NPM desteği ile işbirliği yaptı.
Bununla birlikte, maruz kalma penceresi, sadece bu saldırıların yayılma hızını vurgular, hafifletmeler yürürlüğe girmeden önce yapı ortamlarından ve geliştirici iş istasyonlarını potansiyel olarak tehlikeye atar.
Geliştiriciler ve kuruluşlar için, acil eylemler arasında listelenen savunmasız sürümler için paket kilitli donanımları denetleme ve Eslint-config-crettier 10.1.5 veya prior gibi güvenli tabanlara geri dönme yer alır.
Kapsamlı sanitasyon, Node_Modules dizinlerini temizlemeyi, NPM önbelleklerinin temizlenmesini ve doğrulanmış kaynaklardan yeniden yüklenmeyi içerir.
Proaktif olarak, NPM hesaplarında iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmek, jeton hırsızlığı için kritik öneme sahiptir, ancak üretim ve CI konfigürasyonlarındaki tam paket sürümlerinin sabitlenmesi, kayan etiketlerden kaynaklanan riskleri azaltır.
Beklenmedik kurulum komut dosyaları veya gömülü ikili dosyalar gibi anormal davranışları tarayan güvenlik araçları, gerçek zamanlı tehdit algılaması için NPM’yi izleyen platformların gösterdiği gibi erken uyarılar sağlayabilir.
Bu kampanya ortaya çıkmaya devam ettikçe, kazınmış meta verilerden ek koruyucu uzlaşma beklentileri ile NPM ekosistemi, daha fazla tedarik zinciri bozulmalarını önlemek için artan uyanıklık ve sağlam kimlik hijyeni gerektiren devam eden bir tehdit vektörüyle karşı karşıyadır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now