Siber güvenlik araştırmacıları, Windows, Linux ve macOS sistemlerini hedef alan bir bilgi hırsızlığı sağlamak üzere tasarlanmış 10 kötü amaçlı npm paketi keşfetti.
Soket güvenlik araştırmacısı Kush Pandya, “Kötü amaçlı yazılım, yükünü gizlemek için dört gizleme katmanı kullanıyor, yasal görünmek için sahte bir CAPTCHA görüntülüyor, kurbanların IP adresine göre parmak izlerini alıyor ve sistem anahtarlıklarından, tarayıcılardan ve Windows, Linux ve macOS’taki kimlik doğrulama hizmetlerinden kimlik bilgilerini toplayan 24 MB PyInstaller paketli bir bilgi hırsızı indiriyor.” dedi.
Npm paketleri 4 Temmuz 2025’te kayıt defterine yüklendi ve toplu olarak 9.900’den fazla indirme toplandı –
- deezcord.js
- dezcord.js
- dizcordjs
- eterdjs
- Ethesjs
- gravürler
- düğüm
- tepki-yönlendirici-dom.js
- daktilo yazıları
- state.js
Çok aşamalı kimlik bilgisi hırsızlığı operasyonu, TypeScript, discord.js, ethers.js, nodemon, react-router-dom ve zustand gibi popüler npm kitaplıklarının kimliğine bürünen çeşitli yazım hatası yapılmış paketler biçiminde ortaya çıktı.
Kötü amaçlı yazılım yüklendikten sonra sahte bir CAPTCHA istemi sunar ve yasal paket kurulumlarını taklit eden orijinal görünümlü çıktılar görüntüleyerek kurulum sürecinin beklenen doğrultuda ilerlediği izlenimini verir. Ancak arka planda paket kurbanın IP adresini yakalar ve bunu harici bir sunucuya gönderir (“195.133.79″)[.]43”) ve ardından ana kötü amaçlı yazılımı bırakmaya devam ediyor.
Her pakette, kötü amaçlı işlevsellik, kurulum sonrasında bir kurulum sonrası kancası aracılığıyla otomatik olarak tetiklenir; kurbanın işletim sistemini algılayan ve yeni bir Komut İstemi (Windows), GNOME Terminali veya x-terminal-emülatörü (Linux) veya Terminal (macOS) penceresinde gizlenmiş bir yükü (“app.js”) başlatan “install.js” adlı bir komut dosyasını başlatır.
Pandya, “Yeni bir terminal penceresi oluşturarak kötü amaçlı yazılım, npm yükleme işleminden bağımsız olarak çalışır” dedi. “Kurulum sırasında terminallerine bakan geliştiriciler, kötü amaçlı yazılımın şüpheyi önlemek için hemen temizlediği yeni bir pencerenin kısa süreliğine göründüğünü görüyor.”
“app.js” içinde yer alan JavaScript, analize direnç gösterecek şekilde tasarlanmış, dinamik olarak oluşturulmuş bir anahtara sahip XOR şifresi, yük dizesinin URL kodlaması ve program akışını gizlemek için onaltılı ve sekizli aritmetik kullanılması gibi dört gizleme katmanı aracılığıyla gizlenmiştir.
Saldırının nihai hedefi, geliştiricinin makinesini sırlar, kimlik doğrulama belirteçleri, kimlik bilgileri ve web tarayıcılarından, yapılandırma dosyalarından ve SSH anahtarlarından gelen oturum çerezleri açısından kapsamlı bir şekilde tarayacak donanıma sahip olan aynı sunucudan kapsamlı bir bilgi hırsızı (“data_extracter”) alıp çalıştırmaktır.
Çalınan ikili dosya aynı zamanda anahtarlık npm kitaplığını kullanarak sistem anahtarlığından kimlik bilgilerini çıkarmak için platforma özel uygulamaları da içerir. Toplanan bilgiler bir ZIP arşivine sıkıştırılır ve sunucuya aktarılır.
Socket, “Sistem anahtarlıkları, e-posta istemcileri (Outlook, Thunderbird), bulut depolama senkronizasyon araçları (Dropbox, Google Drive, OneDrive), VPN bağlantıları (Cisco AnyConnect, OpenVPN), şifre yöneticileri, SSH parolaları, veritabanı bağlantı dizeleri ve işletim sistemi kimlik bilgisi deposuyla entegre olan diğer uygulamalar dahil olmak üzere kritik hizmetler için kimlik bilgilerini saklar” dedi.
“Kötü amaçlı yazılım, anahtarlığı doğrudan hedef alarak uygulama düzeyinde güvenliği atlıyor ve depolanan kimlik bilgilerini şifresi çözülmüş biçimde topluyor. Bu kimlik bilgileri kurumsal e-postaya, dosya depolamaya, dahili ağlara ve üretim veritabanlarına anında erişim sağlıyor.”