Snyk güvenlik araştırmacısı, cursor.com’u hedefleyen kötü amaçlı NPM paketleri yayımladı

 (sourcecodered.com)
1 puan yazan GN⁺ 2025-01-14 | Henüz yorum yok. | WhatsApp'ta paylaş

  • Snyk güvenlik araştırmacısının kötü amaçlı NPM paketleri yayımlaması

    • Yazar, her sabah bir önceki gece tespit edilen kötü amaçlı paketleri kontrol ediyor. Bunu, ağlarına takılan balıkları kontrol eden bir balıkçıya benzetiyor.
    • Kısa süre önce Snyk’in bir kullanıcısının Cursor.com’u hedefleyen birden fazla paketi NPM’e yayımladığı fark edildi.
    • Bu paketler, "cursor-retreival", "cursor-always-local", "cursor-shadow-workspace" gibi adlar taşıyor.
    • Bu paketler kurulduğunda sistem verilerini toplayıp saldırganın kontrol ettiği bir web servisine gönderiyor.

  • Paketlerin çalışma biçimi

    • Paketler env komutunun çıktısını toplayarak AWS anahtarları, NPM token’ları, GitHub kimlik bilgileri gibi hassas bilgileri açığa çıkarıyor.
    • Toplanan veriler saldırgana ait bir web sitesine gönderiliyor.

  • Amaçlanan saldırı

    • Bu paketler, belirli bir şirkete karşı dependency confusion saldırısı girişimi gibi görünüyor.
    • Cursor.com’un bir bug bounty programı yürütüp yürütmediği bilinmiyor; ancak Cursor çalışanlarının yanlışlıkla bu herkese açık paketleri kurmasının hedeflendiği tahmin ediliyor.

  • Kötü amaçlı paketlerin tespiti

    • OpenSSF paket analiz tarayıcısı bu paketleri kötü amaçlı olarak tanımladı.
    • OSV, MAL-2025-27, MAL-2025-28 ve MAL-2025-29 olmak üzere üç kötü amaçlı yazılım uyarısı oluşturdu.

  • Paketleri yayımlayan kişi

    • NPM paket metadata’sına göre paketler, Snyk Security Labs ekibinin snyk.io e-posta adresini kullanan bir kullanıcı tarafından yayımlandı.
    • Metadata içindeki author alanında Snyk çalışanından bahsediliyor; bu alan sahte olabilir ancak yayımlayan kişi doğrulanmış bir Snyk e-postası kullanıyor.

  • Nasıl karşılık verilmeli

    • NPM uyarıldı ancak paketler henüz kötü amaçlı olarak işaretlenmedi; çoğu yazılım tedarik zinciri güvenliği aracı da bir paketin kötü amaçlı olduğunu önceden bilmeden koruma sağlayamıyor.
    • NPM paketlerini gelişigüzel kurmamak ve bir paketin meşruiyetini değerlendirmeye yardımcı olacak işaretleri bilmek öneriliyor.
    • Tüm paketler yalnızca iki dosya içeriyor: package.json ve index.js (veya main.js). Bu, bir paketin meşruiyetini değerlendirmede kullanılabilecek işaretlerden biri.
    • NPM’in bu paketleri yakında kaldırması bekleniyor.

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.