Açık kaynaklı yazılım dağıtımında kritik bir güvenlik açığına işaret eden, tehlikeye atılmış npm paketleri aracılığıyla Windows sistemlerini hedef alan karmaşık bir tedarik zinciri saldırısı ortaya çıktı.
21-26 Ekim 2025 tarihleri arasında tehdit aktörleri, Vidar bilgi hırsızı kötü amaçlı yazılımını dağıtmak üzere tasarlanmış 23 sürüm içeren 17 kötü amaçlı npm paketi yayınladı.
Kampanya, geliştiricilerin paket kayıtlarındaki güvenini istismar ederek, Telegram bot yardımcıları, simge kütüphaneleri ve Cursor ve React gibi popüler projelerin çatalları gibi görünen meşru görünen paketlerden yararlandı.
Saldırı, kayıt defterinden kaldırılmadan önce 2.240 defadan fazla indirilen paketleri yayınlayan, yakın zamanda oluşturulan iki npm hesabından (aartje ve saliii229911) yararlandı.
Bu dağıtım yöntemi, Vidar için tarihsel olarak kötü amaçlı Office belgeleri içeren kimlik avı e-postaları aracılığıyla yayılan bir paradigma değişikliğini temsil ediyor.
Aldatıcı paketleme ve görünüşte meşru işlevsellik, kötü amaçlı kodun tespit edilmeden önce geniş bir alana yayılmasına olanak sağladı.
.webp)
Datadog Security Labs güvenlik araştırmacıları, kampanyayı, kurulum sonrası komut dosyası yürütme ve süreç oluşturma işlemleri dahil olmak üzere şüpheli göstergeleri işaretleyen GuardDog statik analiz cihazı aracılığıyla belirledi.
Keşif, tüm paketlerin kurulum sonrası komut dosyaları aracılığıyla aynı saldırı zincirlerini yürüttüğünü ve bazı varyantların doğrudan package.json dosyalarına gömülü PowerShell komutlarını kullandığını ortaya çıkardı.
Enfeksiyon Mekanizması ve Teknik Dağılımı
Saldırı, uygulamada dikkate değer bir basitlik sergiliyor. Geliştiriciler güvenliği ihlal edilmiş paketleri yüklediğinde, kurulum sonrası komut dosyaları otomatik olarak tetiklenerek bullethost.cloud altyapısından şifrelenmiş bir ZIP arşivi indiriliyor.
İndirici komut dosyaları, arşivi çıkarmak için sabit kodlanmış kimlik bilgilerini kullandı ve daha önce npm dağıtımlarında görülmemiş, Go tarafından derlenmiş bir Vidar çeşidi olan bridle.exe’yi aldı.
Kötü amaçlı yazılım daha sonra sistem ayrıcalıklarıyla çalıştırılarak bilgi hırsızlığı sürecini başlatır.
Bu Vidar çeşidi, çalınan bilgileri komuta ve kontrol altyapısı yoluyla dışarı çıkarmadan önce tarayıcı kimlik bilgileri, çerezler, kripto para birimi cüzdanları ve sistem dosyaları dahil olmak üzere hassas verileri toplar.
Kötü amaçlı yazılım, düzenli olarak güncellenen C2 alan adlarını içeren sabit kodlu Telegram ve Steam tek kullanımlık hesaplarını sorgulayarak aktif C2 sunucularını keşfeder.
Başarılı bir veri sızıntısının ardından, kötü amaçlı yazılım kendi izlerini silerek, güvenlik ihlali sonrası algılamayı zorlaştırır.
Kampanya, npm ekosistemindeki güvenlik açıklarına ilişkin gelişmiş bir anlayışı temsil ediyor.
Tehdit aktörleri, birden fazla C2 alanı arasında dönüşümlü olarak yer değiştiriyor ve kurulum sonrası komut dosyası uygulamalarında uygulanan varyasyonlarla, büyük ihtimalle kalıp tabanlı tespit sistemlerinden kaçıyordu.
Etkilenen tüm paketler yaklaşık iki hafta boyunca npm’de yayında kaldı ve bu, bunu dünya çapındaki kurumsal geliştirme ortamlarını ve bireysel geliştiricileri hedef alan en önemli npm tabanlı kötü amaçlı yazılım kampanyalarından biri haline getirdi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
