Siber güvenlik araştırmacıları, benzeri görülmemiş bir saldırı vektörü aracılığıyla NPM ekosistemini silah haline getiren karmaşık bir kimlik avı kampanyasını ortaya çıkardı.
Geleneksel kötü amaçlı paket kurulumlarından farklı olarak bu operasyon, başta Avrupa’nın sanayi, teknoloji ve enerji sektörlerinde olmak üzere 135’ten fazla kuruluştaki kurumsal çalışanları hedef alarak kimlik avı komut dosyalarını doğrudan tarayıcılar aracılığıyla sunmak için güvenilir unpkg.com CDN’sinden yararlanıyor.
Ekim 2025’te keşfedilen kampanya, tedarik zinciri saldırı metodolojilerinde tehlikeli bir evrimi temsil ediyor.
Tehdit aktörleri, her biri kurbanları otomatik olarak kimlik bilgisi toplama web sitelerine yönlendiren JavaScript kodu için tek kullanımlık barındırma altyapısı olarak hizmet veren 175’ten fazla tek kullanımlık NPM paketinin oluşturulmasını otomatikleştirdi.
Bu paketler, “yönlendirme” de dahil olmak üzere belirli adlandırma kalıplarını takip eder.[a-z0-9]{6}” şeması ve “mad-xxxxxx” çeşitleri, bunların NPM kayıt defterinde meşru görünmesini sağlar.
Saldırganlar, geleneksel paket yükleme süreçleri sırasında geliştiricilerin güvenliğini tehlikeye atmak yerine, iş belgeleri, faturalar ve proje dosyaları gibi görünen hazırlanmış HTML dosyalarını dağıtır.
Kurbanlar görünüşte zararsız olan bu dosyaları açtıklarında, unpkg.com CDN’sinden kötü amaçlı komut dosyaları yükleyen bir zincirleme reaksiyonu tetikliyorlar ve yayınlanan paketler için platformun otomatik kullanılabilirlik özelliğinden yararlanıyorlar.
Bu yaklaşım, geleneksel güvenlik önlemlerini atlayarak meşru açık kaynaklı barındırma altyapısını bir kimlik avı mekanizmasına dönüştürür.
Snyk analistleri, başlangıçta Socket tarafından bildirilenlerin ötesinde ek paket kümeleri tespit ederek kampanyanın kapsamlı kapsamını ortaya çıkardı.
Araştırmacılar, bu saldırının, tehdit aktörlerinin açık kaynak ekosistemini geleneksel paket tabanlı istismarların ötesinde silah haline getirmek için aktif olarak yeni yöntemler keşfettiğini gösterdiğini ve tedarik zinciri uzlaşma stratejilerinde önemli bir değişimi temsil ettiğini belirtti.
Kötü amaçlı yazılım, gizliliğini ve etkinliğini artıran karmaşık davranışsal özellikler sergiliyor.
.webp)
Güvenlik kontrolü (Kaynak – Snyk)
Komut dosyası yürütüldükten sonra kurbanlara sahte bir “Cloudflare Güvenlik Kontrolü” arayüzü sunuyor ve bu arayüz, tespit ve incelemeden kaçmak için tasarlanmış analiz karşıtı karşı önlemlerle tamamlanıyor.
Gelişmiş Kaçınma ve Kalıcılık Mekanizmaları
Kötü amaçlı veri, güvenlik analizine ve tespitine karşı birden fazla koruma katmanı içerir.
Kod, periyodik geliştirici araçları tespiti, sayfaları otomatik olarak boşaltma veya geliştirme konsollarına erişildiğinde yeniden yönlendirme yoluyla kapsamlı hata ayıklama önleme önlemleri uygular.
Bu işlevsellik, boyut eşiği izleme ve konsol nesnesi manipülasyonu yoluyla çalışır: –
const CHECK_INTERVAL = 600;
const SIZE_THRESHOLD = 160;
const REACTION = 'blank';
function sizeCheck() {
return (dw > SIZE_THRESHOLD) || (dh > SIZE_THRESHOLD);
}
function consoleCheck() {
Object.defineProperty(obj, 'id', {
get: function() {
open = true;
return '1';
}
});
console.log(obj);
return open;
}Ayrıca kötü amaçlı yazılım, klavye kısayollarını ve içerik menüsü olaylarını ele geçirerek standart tarayıcı inceleme özelliklerini devre dışı bırakır.
Kapsamlı olay dinleyici uygulamaları aracılığıyla F12 geliştirici araçlarına, Ctrl+Shift+I denetçi kısayollarına ve Ctrl+U kaynak görüntüleme işlevlerine erişimi engeller.
Komut dosyası aynı zamanda çerçeve bozma teknikleri de kullanıyor; kurbanlar sahte doğrulama onay kutusuyla etkileşime girdikten sonra üst düzey pencereyi yeniden yönlendirmeye çalışıyor ve tarama bağlamından bağımsız olarak maksimum etkiyi sağlıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
