3,5 milyardan fazla indirme ile yaygın olarak kullanılan bir NPM paketi olan Eslint-Config-Prettier’in bakımını hedefleyen gelişmiş bir kimlik avı kampanyası, dünya çapında binlerce geliştirici projesine kötü amaçlı kod dağıtılmasına neden oldu.
18 Temmuz’da ReversingLabs’ın otomatik tehdit algılama sistemi tarafından keşfedilen olay, modern yazılım geliştirme uygulamalarındaki kritik güvenlik açıklarını, özellikle otomatik bağımlılık güncelleme araçlarıyla ilişkili riskleri vurgulamaktadır.
Kimlik avı geliştirme aracı isabet
Saldırı, NPM’nin resmi destek ekibini taklit eden, sahte bir adres kullanarak ve kurbanları kötü amaçlı bir alanda barındırılan web sitesinin tam bir kopyasına yönlendiren özenle hazırlanmış bir kimlik avı e -postasıyla başladı.
Eslint-Config-Crettier’in bakımı, bu aldatmacaya kurban düştü ve saldırganlara kontrolü altında birkaç paketin yetkisiz sürümlerini yayınlamak için kimlik bilgileri sağladı.
Saldırganlar erişim sağladıktan sonraki birkaç saat içinde Eslint-Config-Prettier, Eslint-Plugin-Prettier, Synckit ve diğerleri dahil olmak üzere birden fazla paketin kötü niyetli sürümlerini yayınladılar.
Bu tehlikeye atılan paketler, özellikle Windows makinelerini hedefleyen çöpçü uzaktan erişim Trojan’ı (sıçan) dağıtan söndürme sonrası komut dosyaları içeriyordu.
Kötü niyetli versiyonlar yaklaşık iki saat içinde kaldırılsa da, paketin büyük popülaritesi – haftalık 36 milyon indirme yapmak – dar maruz kalma penceresine rağmen etkisi önemliydi.
Otomasyon yakıtları ihlali
Olayın erişimi, GitHub’ın bağımlılığı gibi otomatik olarak, insan müdahalesi olmadan paket sürümlerini yükseltmek için çekme istekleri oluşturan otomatik bağımlılık güncelleme araçları ile önemli ölçüde güçlendirildi.
Araştırmalar, 14.000’den fazla paketin, bir geliştirme bağımlılığı yerine düzenli bir bağımlılık olarak Eslint-Config-Prettier’ı yanlış bir şekilde ilan ettiğini ve rutin yapılar sırasında otomatik kuruluma karşı savunmasız hale getirdiğini ortaya koydu.
Dikkate değer kurbanlar, büyük organizasyonların projelerini içeriyordu ve tersine dönen, kötü niyetli sürüm karma içeren 46 paket-lock.json dosyalarını tanımladı.
Bunlar arasında, büyük teknoloji şirketlerinin bile tedarik zinciri saldırılarından nasıl etkilenebileceğini gösteren Microsoft’un sahip olduğu bir açık kaynak projesi vardı.
Bu güncellemelerin otomatik doğası, birçok geliştirme ekibinin kötü amaçlı kodları yapı ortamlarına dahil ettiği ve potansiyel olarak GitHub jetonlarını ve diğer hassas kimlik bilgilerini saldırganlara maruz bıraktığı anlamına geliyordu.
Bisiklet filosu yönetim şirketi Dott, otomatik sistemleri insan gözetimi olmadan kötü niyetli bağımlılık güncellemesini algılama, onaylama ve birleştirme ile bu güvenlik açığını örneklendirdi.
GitHub ile barındırılan koşucular izole sanal makineler aracılığıyla bazı koruma sağlarken, kendi kendine barındırılan koşucular kullanan kuruluşlar daha fazla kalıcı uzlaşma riskiyle karşı karşıyadır.
Geliştirme Güvenliği Dersleri
Bu olay, otomatik bağımlılık yönetimi paradoksunun altını çiziyor: bağımlılık gibi araçlar ekiplerin güvenlik yamalarıyla güncel kalmasına rağmen, kötü niyetli aktörlerin sömürebileceği yeni saldırı vektörleri de oluşturuyorlar. Güvenlik uzmanları çeşitli koruyucu önlemler önerir:
- Güncelleme gecikmelerini uygulayın: Çoğu uzlaşmanın günler içinde tespit edildiğinden, kritik güvenlik sorunlarını çözmedikçe bağımlılık yükseltmelerine koşmaktan kaçının.
- Uygun bağımlılık kategorizasyonu: Gereksiz kurulumları en aza indirmek için üretim bağımlılıklarını geliştirme bağımlılıklarından açıkça ayırın.
- Oluşturma iş akışlarını güvenli bir şekilde yapılandırın: Üretim sistemleri için gereksiz bağımlılıkların yüklenmesini önlemek için oluşturma ortamları kurun.
- Manuel Güvenlik İncelemesi Gerektirin: Uygun veteriner ve onay işlemleri olmadan bağımlılık güncellemelerinin otomatik birleştirilmesinden kaçının.
Uzlaşma, popüler açık kaynak paketlerini hedefleyen artan tedarik zinciri saldırılarının bir kısmını temsil ediyor.
Kimlik avı kampanyalarının artan karmaşıklığı ve otomatik geliştirme araçlarının yaygın olarak benimsenmesi ile kuruluşlar, geliştirme ortamlarını benzer tehditlerden korumak için otomasyonun rahatlığını sağlam güvenlik uygulamalarıyla dengelemelidir.
AWS Security Services: 10-Point Executive Checklist - Download for Free