Socket’in tehdit araştırma ekibi, NPM tedarik zinciri içindeki büyük bir yükselişte, yaklaşık 2.000 kopya olan protesto yazılımı komut dosyaları da dahil olmak üzere en az 28 kötü amaçlı paketten oluşan bir ağ keşfetti.
Başlangıçta Rusça dili kullanıcılarını Rus veya Belarus alanlarında hedefleyen gizli işlevsellik için iki durumda işaretlenen bu paketler, ekosistem boyunca çoğaldı.
Socket’in uyarı sistemi altında sınıflandırılan Protestware, fare olaylarını devre dışı bırakarak ve Ukrayna milli marşının oynatılmasını başlatarak kullanıcı arayüzü etkileşimlerini bozarak, etkilenen web sayfalarını belirli kullanıcılar için işlevsel olmayan etkili bir şekilde oluşturuyor.
Bu gelişme, açıklanmayan yüklerin bağımlılıklar yoluyla basamaklı olabileceği ve aşağı akış uygulamalarındaki potansiyel etkileri artırabileceği açık kaynaklı depolarda kod yeniden kullanımı risklerini vurgulamaktadır.
Yaygın protestoların keşfi
Kötü niyetli kod, genellikle 100.000 satır kodu aşan paketler içinde derin gömülü bir snippet olarak kendini gösterir, genellikle şaşkınlık için sonuna doğru yerleştirilir.
Çok yönlü bir koşullu kontrol kullanır: Yürütme ortamının doğrulanması bir tarayıcıdır ( typeof window !== 'undefined'), navigatör dilini onaylamak Rusça (/^ru\b/.test(navigator.language)) ve ana bilgisayar adının hedeflenen üst düzey alanlarla hizalanmasını sağlamak (.ru– .su– .byveya .xn--p1ai).
Bu kriterlerin memnuniyeti üzerine, senaryo, tekrar ziyaretçileri hedeflemek için sadece üç günlük bir eşikten sonra etkinleştirilen başlatma zaman damgalarını izlemek için lokalstorajdan yararlanır.
Bu ayarla sonuçlanır document.body.style.pointerEvents="none" Etkileşimleri durdurmak için, bir gecikmeden sonra ilmekli oynatma başlatılan marşı barındıran harici bir URL’den kaynaklanan bir ses öğesi oluşturmak ve eklemek.
Bu tür taktikler sadece jeopolitik olayları protesto etmekle kalmaz, aynı zamanda müşteri tarafı JavaScript ortamlarında bütünlük riskleri oluşturmaktadır ve potansiyel olarak WAI-ARIA gibi erişilebilirlik standartlarını ihlal eder.
Tedarik zinciri yayılımı
Protesto yazılımının kökenleri, yerel JavaScript pop -up’larının yerini olarak özelleştirilebilir iletişim kutuları sağlayan haftalık 700.000’den fazla indirme ile övünen popüler bir kütüphane olan Sweetalert2’ye geri dönüyor.
Bakımı Limonte, yaklaşık üç yıl önce Rusya’nın Ukrayna’yı istilası ve daha sonraki tüm sürümlerde 9.17.3 ve 11.6.6 gibi daha önceki sürümler de dahil olmak üzere yayınlanan 11.6.14 sürümünden bu yana işlevselliği şeffaf bir şekilde açıkladı.
Bununla birlikte, komut dosyası, aynı dosya yapıları ve adlandırma kuralları ile kanıtlandığı gibi, muhtemelen doğrudan kod kopyalama yoluyla ilgisiz paketlere yayılmıştır.
Bu tedarik zinciri kırılganlığı, herhangi bir okuma onayları olmadan çeşitli projeleri etkiler ve mutlak kod entegrasyonunun tehlikelerinin altını çizer.
Dikkate değer örnekler gibi paketler @starlawfirm/counsel-function (284 zirve indirme ile 13 versiyonda yaşayın), falcon-library-comp (1.822 indirme, sürüm 0.0.34-0.0.42) ve currency_contry_exchange (1.276 indirme, sürüm 1.2.7-1.7.1), birçoğu aktif kalan ve son güncellemeleri gören gibi @starlawfirm/counsel-function‘S sürümü 0.0.12 sadece 17 saat önce yayınlandı.
Diğerleri, beğeni meshcentral (16.895 indirme, sürüm 1.1.32–1.1.44) ve alurkerja-ui (572 sürümleri kapsayan 1.521 indirme) starlawfirm-counsel-function-test.
Rapora göre, yazarlar bireysel geliştiricilerden takımlara değişir, aylar ila yıllar önce oluşturulan paketler maruz kalır.
Hedeflenen kullanıcılar öncelikle etkilenen alanlarda Rus dil konuşmacılarını içerir, ancak senaryonun tekrar ziyaretçi mantığı tek seferlik erişimler, potansiyel olarak Kazakistan veya Ukrayna gibi bölgelerde araştırmacıları veya küresel Rus konuşmacılarını etkilemektedir.
SweetAlert2’den gelen bu basamaklı etki, Protesto yazılımının yanlışlıkla kurumsal araçlara nasıl yerleştirilebileceğini ve geliştiricileri bağımlılıkları titizlikle denetlemeye ve NPM kayıt defterinde proaktif tehdit algılama için soket gibi araçlar kullanmaya çağırıyor.
17 Temmuz 2025 itibariyle, bu bulgular aktivizmi teknik sabotajla harmanlayan yazılım tedarik zinciri saldırılarının gelişen manzarasını vurgulamaktadır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now