Datadog Güvenlik Araştırması, Vidar bilgi hırsızı kötü amaçlı yazılımını Windows sistemlerine dağıtmak için tasarlanmış 23 sürümdeki 17 kötü amaçlı paketi içeren, npm ekosistemini hedef alan karmaşık bir tedarik zinciri saldırısını ortaya çıkardı.
MUT-4831 olarak takip edilen bir tehdit aktörü kümesine atfedilen kampanya, npm tabanlı tehditlerde önemli bir artışı temsil ediyor ve npm paketleri aracılığıyla dağıtılan Vidar kötü amaçlı yazılımının bilinen ilk kamuya açıklanmasına işaret ediyor.
Kötü amaçlı paketler, sahte Telegram bot yardımcıları, simge kitaplıkları ve Cursor ve React gibi popüler projelerin çatallanmış sürümleri de dahil olmak üzere meşru yazılım geliştirme kitleri ve kitaplıkları gibi görünüyor.
Npm kayıt defterindeki zararsız sunumlarına rağmen bu paketler, kurulum sırasında otomatik olarak çalıştırılan kurulum sonrası komut dosyaları aracılığıyla yıkıcı yükleri çalıştırır.
Araştırmacılar, paketlerin kaldırılmadan önce yaklaşık iki hafta boyunca npm kayıt defterinde yayında kaldığını ve bu süre zarfında en az 2.240 indirme işlemi gerçekleştirdiğini keşfetti. En popüler kötü amaçlı paket olan react-icon-pkg, kaldırılmadan önce 503 kez indirildi.
Keşif ve İlk Saldırı Zinciri
Datadog’daki güvenlik araştırmacıları, kampanyayı 21 Ekim 2025’te, paket kodundaki şüpheli imzaları tespit etmek için komut satırı statik analizörü GuardDog’u kullanarak tespit etti.
İlk tespit, [email protected] paketini işaretleyerek sessiz işlem yürütme, şüpheli ağ etki alanları ve otomatik kurulum komut dosyaları da dahil olmak üzere çok sayıda kötü amaçlı göstergeyi ortaya çıkardı.
Ekim ayı sonlarında iki patlama dönemi boyunca araştırmacılar, kampanyanın arkasında yer alan, “aartje” ve “saliii229911” npm hesapları altında faaliyet gösteren ve silahlı paketlerini yayınlayan iki tehdit aktörünü gözlemledi.
Saldırı zinciri, paket kurulumu sırasında yürütülen üç adımlı basit bir süreci takip ediyor. İlk olarak, kurulum sonrası komut dosyası bir bullethost’tan şifrelenmiş bir ZIP arşivi indirir[.]bulut etki alanı.
İkinci olarak, komut dosyası, sabit kodlanmış parolaları kullanarak arşivin şifresini çözer ve çıkarır. Üçüncüsü, temizleme işlemlerini gerçekleştirmeden önce ayıklanan içeriklerden bridle.exe adlı bir Windows PE ikili dosyasını çalıştırır.
Kampanyanın bazı varyasyonlarında doğrudan package.json dosyalarına gömülü PowerShell komut dosyaları kullanıldı; bu da tehdit aktörlerinin tespit mekanizmalarından kaçınmak için uygulamalarını kasıtlı olarak çeşitlendirdiğini gösteriyor.
Vidar Infostealer: İkinci Aşama Yükü
Her kötü amaçlı pakette çıkarılan yürütülebilir dosyanın, ilk olarak 2018’de daha önceki Arkei truva atının bir evrimi olarak ortaya çıkan kötü şöhretli bilgi hırsızının Go tarafından derlenmiş bir çeşidi olan Vidar v2 bilgi hırsızı olduğu ortaya çıktı.
C/C++ ile yazılmış geleneksel Vidar örneklerinden farklı olarak bu varyant, kurban sistemlerini tehlikeye atmak için geliştirilmiş yeteneklere sahip yeni nesil kötü amaçlı yazılımı temsil ediyor.
Vidar çalıştırıldıktan sonra tarayıcı kimlik bilgileri, çerezler, kripto para cüzdanları ve kritik sistem dosyaları dahil olmak üzere hassas verileri agresif bir şekilde topluyor ve ardından çalınan bilgileri komuta ve kontrol sunucularına sızdırılmak üzere ZIP arşivlerinde paketliyor.
Bu Vidar varyantını diğerlerinden ayıran şey, aktif C2 alan adlarını dinamik olarak almak için sabit kodlu Telegram ve Steam hesaplarına dayanan altyapı keşif mekanizmasıdır.
Kötü amaçlı yazılım, şu anda hangi altyapının çalışır durumda olduğunu bulmak için bu sosyal medya profillerini sorgulayarak tehdit aktörlerinin paket güncellemeleri gerektirmeden komuta ve kontrol sunucularını döndürmesine olanak tanıyor.
Başarılı bir veri hırsızlığı sonrasında Vidar, kurbanın sisteminden kendisine ait tüm izleri siler ve güvenlik ekiplerinin güvenlik ihlali sonrası tespitini ve olaya müdahale çalışmalarını önemli ölçüde karmaşık hale getirir.
MUT-4831 kampanyası, açık kaynak paket ekosistemlerinin tedarik zinciri istismarına karşı kalıcı savunmasızlığının altını çiziyor.
Her iki tehdit aktörü hesabının da yeni oluşturulmuş ve yayınlanmadan yalnızca birkaç gün önce çalıştırılmış olması, bu saldırı için özel olarak kasıtlı bir altyapı kurulduğunu gösteriyor. Keşfin ardından, npm her iki hesabı da kalıcı olarak yasakladı ve ilgili tüm paketleri kaldırdı; ancak bu, kötü amaçlı yazılımın yüzlerce sisteme ulaşmasından önce olmadı.
Kampanya, tehdit aktörlerinin, npm’nin milyonlarca alt kullanıcıya kötü amaçlı yazılımları minimum sorunla dağıtmak için güvenilir bir ilk erişim vektörü sağladığını öğrendiğini gösteriyor.
Datadog’un Tedarik Zinciri Güvenlik Duvarı teknolojisi, bilinen kötü amaçlı paketleri kurulumdan önce engelleyerek bir azaltma yaklaşımı sunar ve potansiyel olarak maliyetli olay müdahale döngülerini başlamadan önce önler.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.