Yeni Malware Tehdidi: Beamglea
Son zamanlarda siber güvenlik araştırmacıları, npm (Node Package Manager) kayıt defterinde yer alan 175 zararlı paketin tespit edildiğini duyurdu. Bu paketler, kimlik bilgilerini toplama saldırılarını kolaylaştırmak için kullanılıyor. Socket isimli bir güvenlik firması, bu paketlerin, dünya genelinde 135’ten fazla endüstriyel, teknoloji ve enerji şirketini hedef alan kapsamlı bir oltalama kampanyasının parçası olduğunu bildirdi.
Bu paketler toplamda 26.000 kez indirildi. Ancak araştırmacılar, bu indirmelerin çoğunun, otomatik tarayıcılar ve güvenlik araştırmacılarından kaynaklandığını düşündüklerini belirtiyor. Kush Pandya, bu zararlı paketlerin rastgele isimlendirilmesinin geliştiricilerin yanlışlıkla kurulum yapmalarını zorlaştırdığını ifade etti.
Oltalama Operasyonu ve Yapısı
Söz konusu paketlerin, npm’in açık kayıt defteri ve unpkg.com üzerinde barındırılan yönlendirme scriptleri kullandığı belirtildi. Bu scriptler, kurbanları kimlik bilgilerini toplama sayfalarına yönlendiriyor. Pakette yer alan “redirect_generator.py” adındaki Python dosyası, programlı bir şekilde npm paketi oluşturup, belirli bir formatla isimler belirliyor.
Bu script, bir kurbanın e-posta adresini ve özel bir oltalama URL’sini pakete ekliyor. Paketin npm kayıt defterine yüklendikten sonra, “malware” bir HTML dosyası oluşturuyor. Bu dosya, yeni yayımlanan pakete referansla UNPKG CDN üzerinden barındırılıyor. Dolayısıyla, kurban bu HTML dosyasını açtığında, JavaScript dosyası hemen çalışarak onları oltalama sayfasına yönlendiriyor.
HTML Dosyalarının Rolü
Socket, 630’dan fazla HTML dosyası tespit ettiğini ve bu dosyaların genellikle satın alma siparişleri, teknik spesifikasyonlar veya proje belgeleri taklidi yaptığını bildirdi. Yani npm paketleri, kurulum sırasında zararlı kod çalıştırmak için tasarlanmamıştır. Bunun yerine, bu saldırı, npm ve UNPKG’yi oltalama altyapısı olarak kullanmaktadır.
HTML dosyalarının nasıl dağıtıldığı henüz netlik kazanmış değil. Ancak, bu dosyaların, alıcıları sahte HTML dosyalarını açmaya kandıran e-posta ile yayılma ihtimali üzerinde duruluyor. Kurbanlar, bu HTML dosyalarını tarayıcıda açtıklarında, JavaScript derhal oltalama alanına yönlendiriyor ve kurbanın e-posta adresini URL fragmenti olarak geçiriyor.
Pre-Filled Credential Gelişimi
Oltalama sayfası, kurbanın e-posta alanını otomatik olarak dolduruyor. Bu, kurbanların kendilerini gerçek bir giriş portalında hissetmelerine neden oluyor. Önceden doldurulmuş kimlik bilgileri, saldırının başarı oranını önemli ölçüde artırarak kurbanların şüphelerini azaltıyor. Bu tür bir strateji, siber saldırıların başarısını artırmaya yönelik etkili bir taktik olarak dikkat çekiyor.
Siber Tehdit Aktörlerinin Sürekli Gelişimi
Bu bulgular, tehdit aktörlerinin daha önce hiç olmadığı kadar sürekli bir evrim içinde olduklarını gösteriyor. Saldırganlar, defansif stratejilere karşı sürekli olarak yeni teknikler geliştiriyorlar. Pandya, npm ekosisteminin bu olayda dolaylı bir altyapı olarak kullanıldığını vurguladı. Geliştiriciler bu paketleri kurarken, hiç bir zararlı davranışla karşılaşmıyorlar, ancak özel olarak tasarlanmış HTML dosyalarını açan kurbanlar, oltalama sitelerine yönlendiriliyor.
Bu saldırılar, 175 paketin 9 farklı hesap üzerinden yayımlanarak oluşturulan güçlü bir oltalama altyapısının bir örneği olarak karşımıza çıkıyor. Bu yöntem, hem güvenli hem de ucuz bir barındırma sağlar ve yetkili CDN hizmetlerini kullanarak diğer siber saldırganlar tarafından benimsenebilir.
Sonuç olarak, bu tür gelişmeler, hem yazılım geliştirme süreçlerinde hem de siber güvenlik alanında dikkatli olunması gerektiğini gösteriyor. Geliştiricilerin, indirdikleri paketlere karşı her zaman dikkatli olması ve potansiyel tehlikeleri göz önünde bulundurması önemlidir. Cybersecurity dünyası, sürekli olarak değişirken, kullanıcıların ve geliştiricilerin bu tehditlere karşı nasıl bir yol izleyeceği büyük bir merak konusu olmaya devam ediyor.
