Yazılım geliştiricilerini hedef alan yeni bir siber saldırı dalgası ortaya çıktı. Güvenilir projeleri taklit eden on adet zararlı NPM paketi, kullanıcıların bilgisayarlarına bilgi hırsızı yazılım indiriyor. Saldırı Windows, Linux ve macOS sistemlerinde kayıtlı kimlik bilgilerini ele geçiriyor.
Sahte Paketler Uzun Süre Fark Edilmeden Kaldı
Siber güvenlik şirketi Socket tarafından tespit edilen zararlı yazılımlar, 4 Temmuz tarihinde NPM platformuna yüklendi. Paketler, karmaşık şifreleme katmanlarıyla gizlendiği için uzun süre boyunca standart analiz sistemlerinden kaçmayı başardı. Socket araştırmacılarına göre, söz konusu paketler yaklaşık 10 bin kez indirildi ve birçok geliştiricinin tarayıcı, sistem anahtarlığı ve kimlik doğrulama hizmetlerine ait bilgileri sızdırdı.
Sahte ASCII CAPTCHA adımı
Saldırıyı gerçekleştiren kişiler, “typosquatting” adı verilen bir yöntem kullandı. Bu yöntem, popüler yazılım kitaplıklarının adlarını küçük harf hatalarıyla taklit ederek kullanıcıları kandırmaya dayanıyor. “typescriptjs”, “react-router-dom.js” veya “nodemonjs” gibi zararlı paketler, orijinal projelerin adlarına çok benzediği için dikkat çekmeden indirilebildi. Kullanıcılar yanlış paketi yüklediklerinde, kurulum sırasında gizli bir komut dosyası otomatik olarak devreye giriyor.
Kurulum işlemi başladığında zararlı paketler, terminal ekranında ASCII karakterlerle oluşturulmuş sahte bir CAPTCHA görüntülüyor. Bu sayede işlem yasal bir doğrulama gibi görünüyor. Ardından kullanıcıların sistem bilgileri, konum verileri ve cihaz kimliği saldırganların kontrolündeki sunucuya aktarılıyor. Bu aşamadan sonra, platforma özel 24 MB boyutunda bilgi hırsızı bileşeni dış kaynaktan indiriliyor ve otomatik olarak çalıştırılıyor.
İndirilen zararlı bileşen, Windows Kimlik Yöneticisi, macOS Keychain, Linux SecretService, libsecret ve KWallet gibi sistem depolarındaki kimlik bilgilerini topluyor. Ayrıca Chromium tabanlı tarayıcılarda kayıtlı parolalar, oturum çerezleri ve kullanıcı profilleri de saldırının hedefi oluyor. Yazılım, SSH anahtarlarını ve API erişim belirteçlerini bulup kopyalayarak, bunları sıkıştırılmış dosyalar hâlinde saldırganların 195[.]133[.]79[.]43 numaralı sunucusuna gönderiyor.
Uzmanlar, son dönemlerde açık kaynak depolarında zararlı yazılımların sayısının arttığını belirtiyor. Geliştiricilerin paket yüklerken yazım hatalarına dikkat etmesi, yalnızca doğrulanmış yayıncılardan gelen içerikleri tercih etmesi ve şüpheli paketleri yükledikten sonra sistemlerini temizleyip tüm erişim bilgilerini yenilemesi öneriliyor.
