Son 6 ayda yeni kaydedilen NPM paketlerinin %70'i spam çıktı

npm'deki büyük ölçekli spam paket sorunu

• Phylum araştırma ekibi, Tea Protocol ile ilişkili spam paketlerin npm'de hızla arttığını tespit etti
• Tea Protocol, açık kaynak katkılarını kripto para ile ödüllendiren bir sistem ve geliştiricileri katkılarını abartmaya teşvik ediyor
• 2024'ün 2. çeyreğinde npm'e yayınlanan paketlerin yaklaşık %25'inin Tea Protocol ile ilişkili spam paketler olduğu tahmin ediliyor

Kısa özet

• Tea Protocol, geliştiricileri katkılarını abartmaya teşvik eden bir algoritma kullanıyor
• npm, bu spam paketler nedeniyle ciddi bir kirlenme yaşıyor
• Spam paketlerin özellikleri arasında rastgele üretilmiş paket adları, şüpheli bağımlılık listeleri ve tea.yaml dosyası bulunuyor

Yeni bakış açısı

• 2024'ün başından beri npm'e yayınlanan paket sayısı keskin biçimde arttı
• 8 Nisan 2024'te tek bir günde 48.000'den fazla paket yayınlandı
• 2. çeyrek boyunca yayınlanan npm paketlerinin %21,25 ile %25,5'inin spam paket olduğu tahmin ediliyor
• Kapsam yalnızca yeni paketlerle sınırlandığında, spam paket oranı %68,66 ile %74,67'ye çıkıyor

Tehdit var mı?

• Şu ana kadar bu spam paketlerin kötü amaçlı saldırılar içerdiğine dair bir kanıt yok
• Ancak bu spam, açık kaynak ekosistemini kirletiyor ve yapay zeka modellerinin eğitim verilerini çarpıtabilir
• Ayrıca gerçek zararlı paketlerin gizlenebileceği bir ortam yaratıyor

Saldırganın bakış açısından düşünmek

• sournoise paketi örneğinde, npm web sitesi bu paketin axios bağımlılığı olduğunu gösteriyor; ancak gerçekte spam paketlere bağımlı
• Bu, npm'in bağımlılıkları işleme ve kullanıcılara gösterme biçiminin bir yan etkisi
• Geçişli bağımlılıklar nedeniyle geliştiricilerin istemediği ya da beklemediği paketler dahil olabilir

Sonuç

• Açık kaynak yazılım ekosisteminin kirlenmesi herkes için bir sorun
• Tea Protocol projesi bu sorunu çözmek için adımlar atıyor
• npm de bazı spam paketleri kaldırıyor, ancak yeni yayınların hızına yetişemiyor
• Bu sorun yalnızca npm ile sınırlı değil; Rubygems'te de benzer spam paketler bulundu
• Phylum bu alanı aktif biçimde araştırıyor ve bu aktörler taktiklerini uyarladıkça bu spam'i tespit etmek için yeni yöntemler arayacak

GN⁺ özeti

• Tea Protocol'ün ödül sistemi, geliştiricileri katkılarını abartmaya teşvik ediyor
• Açık kaynak sürdürülebilirliği için projenin niyeti iyi olsa da, buna eşlik eden yan etkiler ve kötüye kullanım örnekleri gözden kaçmış görünüyor. Katkı ölçüm yöntemi ile ödül sisteminin dikkatle tasarlanması ve sürekli izlenmesi gerekiyor
• Bu ölçekteki spam paket seli, sadece tek tek paketlerin güvenliği meselesini aşarak tüm açık kaynak ekosisteminin güvenilirliğini ve sağlığını tehdit edebilir. Kalıcı çözüm için ekosistem düzeyinde bir yaklaşım ve iş birliği gerekli görünüyor
• Yapay zeka modeli eğitim verisi olarak kullanılması halinde önyargı sorunu ortaya çıkabilmesi özellikle kaygı verici. Veri kalitesi yönetimi ve doğrulama için acil kılavuzlara ihtiyaç var gibi görünüyor
• Geçişli bağımlılıklar üzerinden beklenmedik paketlerin kurulabilmesi, geliştiricileri uyarmaya yetecek kadar önemli. Otomatik bağımlılık yönetim araçlarına duyulan ihtiyacın yanında, paket seçiminde geliştiricinin dikkat ve incelemesinin hâlâ önemli olduğunu gösteriyor
• Uzun vadede, blokzincir tabanlı paket kayıt defterleri veya itibar sistemleri gibi daha şeffaf ve doğrulanabilir alternatifleri değerlendirmek gerekebilir