- Hâlen süren saldırı, NPM (Node Package Manager) deposuna yüzlerce kötü amaçlı paket yükleyerek bu kod kütüphanelerine bağımlı olan geliştirici cihazlarını enfekte etmeyi amaçlıyor
- Kötü amaçlı paketlerin adları, Puppeteer, Bignum.js gibi meşru kod kütüphanelerine ve çeşitli kripto para kütüphanelerine benziyor
- Bu kampanya, bu yazı yayımlandığı sırada da aktifti ve güvenlik şirketi Phylum tarafından keşfedildi
Tedarik zinciri saldırılarına dikkat etmek gerekiyor
- Malware yazarları, niyetlerini gizlemek ve kontrolleri altındaki uzak sunucuları obfuscate etmek için yeni yöntemler aramak zorunda kaldı
- Bu da tedarik zinciri saldırılarının hâlâ yoğun biçimde sürdüğünü gösteren sürekli bir uyarı niteliğinde
- Kurulan kötü amaçlı paketler, kötü amaçlı ikinci aşama malware payload'unu almak için bağlandıkları IP adresini gizlemenin yeni bir yolunu kullanıyor
-
- aşama kodunda IP adresi hiç görünmüyor. Bunun yerine bir Ethereum akıllı sözleşmesine erişerek Ethereum mainnet'teki belirli bir sözleşme adresiyle ilişkili dizeyi (IP adresini) alıyor
- Phylum'un analiz ettiği paketlerde dönen IP adresi
hxxp://193.233.201[.]21:3001 idi
- Veriyi Ethereum blockchain'inde depolamak, saldırganın daha önce kullandığı IP adreslerinin görülmesini sağlıyor
- Ethereum, şimdiye kadar gördüğü tüm değerlerin değiştirilemez kaydını tutuyor
- Bu nedenle bu tehdit aktörünün kullandığı tüm IP adresleri görülebiliyor
- Kötü amaçlı paketler, Vercel paketi biçiminde kuruluyor ve bellekte çalıştırılıyor
- Payload, her yeniden başlatmada yüklenecek şekilde ayarlanıyor ve Ethereum sözleşmesindeki IP adresine bağlanıyor
- Ek Javascript dosyalarını almak için birden çok istek yaptıktan sonra sistem bilgilerini aynı istek sunucusuna geri gönderiyor
- Bu bilgiler arasında GPU, CPU, makinenin bellek miktarı, kullanıcı adı ve OS sürümü yer alıyor
- Yazım hatasından yararlanan saldırılar yaygın şekilde kullanılıyor
- Bu saldırı, meşru paketlere çok benzeyen ancak birkaç harfi farklı olan adlar kullanan typosquatting'e dayanıyor
- Typosquatting, son 5 yıldır geliştiricileri kötü amaçlı kod kütüphanelerini indirmeye kandırmak için kullanılıyor
- Geliştiriciler, indirdikleri paketleri çalıştırmadan önce adlarını her zaman iki kez kontrol etmeli
8 yorum
Akıllı kontrat kullanıyorsa, birlikte karşı saldırı yapıp hacker'ın gas'ini de tüketebiliriz diye düşünüyorum haha
Neyse, yine o lanet coin meselesi sorun çıkarıyor.
Keşke Nix store için bir zararlı yazılım tarayıcısı olsa, gidip bakmam gerekecek; geliştiriciler hepiniz Nix'e geçin. Tüm dijital varlıkları dondurup sabitlemek, sonra da dokunulamaz hale getirmek lazım. Bir de devletin RAG yapay zeka falan yapıp şirketlere dağıtması gerek, bunu ne zaman yapacak acaba; haydi. Güneydoğu Asya'dakinden bile kötü olan bu geliştirme ortamı ne zaman bitecek acaba.
Hangi şirkette çalışıyorsunuz da Güneydoğu Asya’dan bile kötü bir geliştirme ortamında çalışıyorsunuz...
Sanırım bunun şirket kaynaklı değil, devlet politikası düzeyinde bir sorun olduğunu söylüyorsunuz.
npm’de bu sorun canı sıkıldıkça ortaya çıkıyor; diğer dillerin paket depolarında da böyle problemler yok mu?
Örneğin paket yöneticisinin varsayılan ayarı
allow-net=falseya daignore-scripts=trueolduğu için mi daha güvenliler, yoksa benzer bir durum mu söz konusu..Npm çok kullanıldığı için göze daha sık çarpıyor
Diğer dillerin paket depolarında da durum aynı.
Uzaktan kütüphaneleri otomatik olarak indirip kullanan cargo, alire, maven gibi araçların hepsi de benzer tehditlere maruz kalıyor gibi görünüyor.