Siber güvenlik araştırmacıları, kötü amaçlı yazılım sunmak için Gluestack ile ilişkili bir düzineden fazla paketi hedefleyen bir tedarik zinciri saldırısı işaretlediler.
“Lib/commonjs/index.js” olarak bir değişiklik yoluyla tanıtılan kötü amaçlı yazılım, bir saldırganın kabuk komutlarını çalıştırmasına, ekran görüntülerini almasına ve enfekte makinelere dosya yüklemesine izin veriyor, Aikido Security Hacker News’e verdiği demeçte, bu paketlerin toplu olarak haftalık indirmeleri toplu olarak açıkladığını belirtti.
Daha sonra yetkisiz erişim, madencilik kripto para birimi, hassas bilgileri çalmak ve hatta hizmetleri kapatma gibi çeşitli takip eylemleri gerçekleştirmek için kullanılabilir. Aikido, ilk paket uzlaşmasının 6 Haziran 2025’te saat 21: 33’te GMT’de tespit edildiğini söyledi.
Etkilenen paketlerin ve etkilenen sürümlerin listesi aşağıdadır –
- @gluestack-ui/utils sürüm 0.1.16 (101 indirme)
- @gluestack-ui/utils sürüm 0.1.17 (176 indirme)
- @React-Native-Aria/Düğme Sürüm 0.2.11 (174 İndirme)
- @React-Native-Aria/onay kutusu sürümü 0.2.11 (577 indirme)
- @React-Native-Aria/Combobox Sürüm 0.2.8 (167 İndirme)
- @React-Native-Aria/Açıklama Sürümü 0.2.9 (N/A)
- @React-Native-Aria/Focus sürüm 0.2.10 (951 indirme)
- @React-Native-Aria/Etkileşimler Sürüm 0.2.17 (420 indirme)
- @React-Native-Aria/ListBox sürüm 0.2.10 (171 indirme)
- @React-Native-Aria/Menü Sürüm 0.2.16 (54 İndirme)
- @React-Native-Aria/Overlay sürüm 0.3.16 (751 indirme)
- @React-Native-Aria/Radyo Sürümü 0.2.14 (570 İndirme)
- @React-Native-Aria/Kaydırıcı Sürüm 0.2.13 (264 İndirme)
- @React-Native-Aria/Switch Sürüm 0.2.5 (56 indirme)
- @React-Native-Aria/Tabs Sürüm 0.2.14 (170 indirme)
- @React-Native-Aria/Toggle Sürüm 0.2.12 (589 İndirme)
- @React-Native-Aria/Utils Sürüm 0.2.13 (341 indirme)
Ayrıca, paketlere enjekte edilen kötü amaçlı kod, geçen ay başka bir NPM paketi “Rand-User-Agent” ın uzlaşmasının ardından teslim edilen uzaktan erişim Truva atına benzer, bu da aynı tehdit aktörlerinin aktivitenin arkasında olabileceğini gösterir.
Truva atı, sistem bilgilerini (“ss_info”) hasat etmek için iki yeni komutu ve ana bilgisayarın genel IP adresini (“ss_ip”) destekleyen güncellenmiş bir sürümdür.
Proje koruyucuları o zamandan beri erişim belirtecini iptal etti ve etkilenen sürümleri kullanımdan kaldırıldı. Kötü niyetli sürümleri indirmiş olabilecek kullanıcıların olası tehditleri azaltmak için güvenli bir sürüme geri dönmesi önerilir.
Şirket yaptığı açıklamada, “Potansiyel etki ölçek olarak büyüktür ve kötü amaçlı yazılımların kalıcılık mekanizması özellikle ilgilidir – saldırganlar, bakımcıların paketleri güncelledikten sonra bile enfekte makinelere erişimi sürdürür.” Dedi.
NPM’de bulunan kötü amaçlı paketler yıkıcı özellikleri serbest bırakır
Geliştirme, Socket’in meşru yardımcı programlar olarak maskelenen ancak tüm uygulama dizinlerini silebilen implant silecekleri olan iki haydut NPM paketi-Express-API-Sync ve Sistem-Sağlık Senkronizasyonu-API-keşfettiği gibi geliyor.
“Botsiler” hesabı tarafından yayınlandı (e -posta: anupm019@gmail[.]com), paketler kaldırılmadan önce sırasıyla 112 ve 861 kez indirildi.
İki paketten ilki, Express-api-sync, iki veritabanı arasında verileri senkronize etmek için Express API olduğunu iddia ediyor. Ancak, şüphesiz bir geliştirici tarafından uygulamalarına yüklendikten ve eklendikten sonra, sabit kodlu “varsayılan_123” ile bir HTTP isteği aldıktan sonra kötü amaçlı kodun yürütülmesini tetikler.
Anahtarın alınmasından sonra, kaynak kodu, yapılandırma dosyaları, varlıklar ve yerel veritabanları dahil olmak üzere geçerli dizinden ve altındaki tüm dosyaları tekraryaşlı olarak silmek için UNIX komutunu “rm -rf *” komutunu yürütür.
Diğer paket, hem bilgi stealer hem de silecek olarak hareket ederken, işletim sisteminin Windows (“RD /S /Q.”) Veya Linux (“rm -rf *”) olup olmadığına bağlı olarak silme komutlarını değiştirir.
Güvenlik araştırmacısı Kush Pandya, “Express-API-Sync’in künt bir enstrüman olduğu durumlarda, sistem-sağlık senkronizasyonu-api, yerleşik istihbarat toplama ile İsviçre ordusu yıkım bıçağıdır.” Dedi.
NPM paketinin dikkate değer bir yönü, e-postayı, sert kodlanmış SMTP kimlik bilgileri aracılığıyla saldırgan kontrollü posta kutusuna bağlanan gizli bir iletişim kanalı olarak kullanmasıdır. Parola Base64 kodlama kullanılarak gizlenirken, kullanıcı adı Hindistan merkezli bir emlak ajansıyla ilişkili bir alan adına sahip bir e-posta adresini işaret eder (“Auth@coreHomes[.]içinde”).
“Her önemli olay ANUPM019@Gmail’e bir e -postayı tetikler[.]com, “Socket dedi.” E -posta, tam arka uç URL’sini içerir, potansiyel olarak dahili altyapı ayrıntılarını, geliştirme ortamlarını veya kamuya açıklanmaması gereken evreleme sunucularını içerir. “
Çoğu güvenlik duvarı giden e -posta trafiğini engellemediğinden ve kötü amaçlı trafiğin meşru uygulama e -postalarıyla karışmasına izin verdiğinden, veri açığa çıkması için SMTP kullanımı sinsidir.
Ayrıca, paket platforma özgü yıkım komutlarını serbest bırakmak için “/_/sistem/sağlık” ve “/_/sys/bakım” ile uç noktaları direnir, ikincisi ana arka kapı algılanması ve bloke edilmesi durumunda bir geri dönüş mekanizması olarak hareket eder.
Pandya, “Saldırganlar önce sunucunun ana bilgisayar adını ve durumunu döndüren Get/_/System/Health aracılığıyla arka kapıyı doğrulayın.” “Yapılandırılmışsa kuru çalıştırma moduyla test edebilirler, ardından/_/system/sağlık veya yedekleme direği/_/sys/bakım uç noktasını” Helloworld “anahtarı ile kullanılarak yıkımı yürütebilirler.
İki yeni NPM paketinin keşfi, tehdit aktörlerinin sistem sabotajına odaklanmak için bilgi ve kripto para hırsızlığı için sahte kütüphaneler kullanmanın ötesinde, finansal fayda sunmadıkları için alışılmadık bir gelişme olan bir şey olduğunu gösteriyor.
PYPI Paket, Kimlik Bilgilerini Hasat etmek için Instagram Büyüme Aracı Olarak Pozar
Ayrıca, yazılım tedarik zinciri güvenlik firmasının, Instagram büyüme aracı olduğunu iddia eden Python Paket Endeks (PYPI) deposunda Python tabanlı yeni bir kimlik bilgisi hasatı IMAD213 keşfetmesiyle de geliyor. Pepy.tech’te yayınlanan istatistiklere göre, paket 3.242 kez indirildi.
Pandya, “Kötü amaçlı yazılım, gerçek doğasını gizlemek için Base64 kodlama kullanıyor ve NetLify ile barındırılan bir kontrol dosyasından uzak bir öldürme anahtarı uygular.” Dedi. “Yürütüldüğünde, kullanıcıları Instagram kimlik bilgilerini ister ve takipçisi sayımlarını artırıyormuş gibi yaparken on farklı üçüncü taraf bot hizmetine yayınlar.”
Python Kütüphanesi, 21 Mart 2025’te kayıt defterine katılan ve Facebook, Gmail, Twitter ve VK kimlik bilgilerini (Taya, A-B27) hasat edebilen üç paket yükledi (Taya, A-B27) veya daha kaldıraç, akış platformu ve daha kaldıraç-sıkıntılarla dağıtılabilen bir kullanıcı tarafından yüklendi. (POPPO213).
Pypi’den hala indirilebilir olan paketlerin listesi aşağıdadır –
- Imad213 (3.242 indirme)
- Taya (930 indirme)
- A-B27 (996 indirme)
- Poppo213 (3.165 indirme)
Imad-213 tarafından yayınlanan bir GitHub ReadMe.md belgesinde, “IMAMAD213” i PYPI’ye yüklenmeden yaklaşık iki gün önce, tehdit oyuncusu kütüphanenin esas olarak “eğitim ve araştırma amaçları” için olduğunu iddia ediyor ve herhangi bir yanlış kullanımdan sorumlu olmadıklarını belirtiyor.
GitHub açıklaması ayrıca, kullanıcıları ana hesaplarıyla ilgili herhangi bir soruna girmekten kaçınmak için sahte veya geçici bir Instagram hesabı kullanmaya çağıran bir “aldatıcı güvenlik ipucu” içerir.
Pandya, “Bu yanlış güvenlik yaratıyor, kullanıcılar hala saldırgana geçerli kimlik bilgilerini teslim ederken dikkatli olduklarını düşünüyorlar.” Dedi.
Başlatıldıktan sonra, kötü amaçlı yazılım harici bir sunucuya bağlanır ve bir metin dosyasını (“Pass.txt”) okur ve yalnızca dosya içeriği “IMAD213” dizesi ile eşleşirse yürütme ile daha da ilerler. Kill Switch, tehdit aktörünün kütüphaneyi çalıştırmaya kimin erişebileceğini belirlemesine veya kontrol dosyasının bağlamını değiştirerek indirilen her kopyayı kapatmasına izin verebilir.
Bir sonraki adımda, kütüphane, kullanıcıyı Instagram kimlik bilgilerini girmesini ister, daha sonra yerel olarak “kimlik bilgileri.txt” adlı bir dosyaya kaydedilir ve bazıları aynı varlık tarafından işletilen Türkli Instagram büyüme araçları ağına bağlanan on farklı şüpheli bot hizmet web sitesine yayın yapar. Alanlar Haziran 2021’de kaydedildi.
Socket, “Bu kimlik bilgisi hasatçının ortaya çıkışı, sosyal medya hedefli kötü amaçlı yazılımlarda eğilimlerle ilgili ortaya çıkıyor.” Dedi. “Kimlik bilgileri alan on farklı bot hizmeti ile, kimlik bilgisi aklamanın ilk aşamalarını görüyoruz – çalınan girişlerin kökenlerini gizlemek için birden fazla hizmete dağıtıldığı.”