JavaScript ekosistemini hedef alan tedarik zinciri saldırıları, etki alanı manipülasyonunu sosyal mühendislikle birleştiren karmaşık operasyonlara dönüştü.
8 Eylül 2025’te tehdit aktörleri, yüksek profilli NPM geliştiricilerinin güvenliğini tehlikeye atmayı amaçlayan koordineli bir kimlik avı kampanyası başlattı.
Saldırı, “qix” olarak bilinen geliştirici Josh Junon’un hesaplarına başarılı bir şekilde sızdı ve en az dört bakımcıyı hedef alarak yazılım havuzlarının kimlik bilgisi toplama taktiklerine karşı savunmasızlığını açığa çıkardı.
Ele geçirilen paketler haftalık yaklaşık 2,8 milyar indirmeyi temsil ediyordu ve bu olay, NPM tarihindeki en önemli tedarik zinciri tehditleri arasında yer alıyor.
Kimlik avı e-postaları, resmi NPM güvenlik iletişimleri gibi göründü ve alıcıların, hesapların askıya alınmasını önlemek için iki faktörlü kimlik doğrulama bilgilerini güncellemeleri gerektiğini iddia etti.
.webp)
Bu acil mesajlaşma, geleneksel kullanıcı şüpheciliğini aşan psikolojik baskı yarattı.
Saldırgan support@npmjs adresinden iletişim gönderdi[.]yardım, şüphelenmeyen geliştiriciler için görsel olarak ikna edici kalırken meşru NPM altyapısını yansıtmak için tasarlanmış sahte bir alan adıdır.
Group-IB analistleri, SPF, DKIM ve DMARC gibi standart e-posta kimlik doğrulama protokollerini başarıyla geçmesine rağmen, birden fazla teknik göstergenin kampanyanın kötü niyetli niyetini ortaya çıkardığını tespit etti.
Her e-posta, kurbanları npmjs.help’te barındırılan bir kimlik bilgisi toplama sitesine yönlendiren özelleştirilmiş bir kimlik avı bağlantısı içeriyordu. Geliştiriciler kimlik bilgilerini klonlanmış giriş sayfasına girdikten sonra saldırganlar NPM hesaplarına tam erişim elde etti.
JavaScript Clipper Yükü ve Kripto Para Birimi Hedefleme
Hesap erişimi güvence altına alındığında, tehdit aktörleri yirmi popüler NPM paketine JavaScript Clipper kötü amaçlı yazılımını yerleştirdi.
Bu gelişmiş yük, özellikle kripto para birimi cüzdan etkileşimleri için tarayıcı ve uygulama etkinliğini izler.
Kullanıcılar Bitcoin, Ethereum, Solana, Tron, Litecoin veya Bitcoin Cash’i içeren işlemleri başlattığında, kötü amaçlı yazılım cüzdan adreslerini ele geçirdi ve bunları saldırgan tarafından kontrol edilen alternatiflerle değiştirerek, kullanıcının farkındalığı olmadan kripto para birimi transferlerini etkili bir şekilde yönlendirdi.
.webp)
Bu hedefe yönelik enfeksiyon mekanizması, modern tedarik zinciri uzlaşma operasyonlarının hassasiyetini örnekledi.
Group-IB’nin Ticari E-posta Koruması platformu, kapsamlı çok katmanlı analiz yoluyla bu tehdidi başarıyla tespit etti.
Tespit, RDAP kontrolleri, marka kimliğine bürünme algoritmaları, sosyal mühendislik kalıplarını tanımlayan içerik analizi, kimlik bilgisi yakalama işlevselliğini ortaya çıkaran URL incelemesi ve sahte arayüz çoğaltmasını açığa çıkaran davranış analizi aracılığıyla alan adı istihbaratından yararlandı.
Düzeltmenin ardından, etkilenen paketler temiz sürümlere geri döndürüldü ve geliştiriciler, tam hesap kontrolünü yeniden ele geçirerek, aşağı yöndeki yaygın güvenlik ihlallerini önledi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
