Yeni IronWorm Zararlısı: npm Tedarik Zinciri Saldırısı
Son günlerde, Node Package Manager (npm) indeksinde 36 paket, IronWorm adlı bilgi hırsızlık yazılımı ile enfekte olmuştur. Bu saldırının önemi, önemli kimlik bilgilerini hedef alması ve yazılım geliştirme süreçlerini tehdit etmesindedir.
Saldırı Nasıl Çalışıyor?
IronWorm zararlısı, 86 ortam değişkenini ve 20 kimlik bilgisi dosyasını hedef alarak, OpenAI, AWS, Anthropic ve npm kimlik bilgileri gibi hassas verileri çalmaktadır. Rust dilinde yazılan bu zararlı yazılım, bir eBPF çekirdek kök kiti arkasında gizlenir ve Tor ağı üzerinden operatörüyle iletişim kurar.
– IronWorm, çalınan kimlik bilgilerini kullanarak npm üzerinde kendi kendine yayılarak birçok geliştiriciyi etkiler.
– Saldırı başarılı olduğunda, zararlı yazılım, mağdurun sahip olduğu paketlerin trojan versiyonlarını yayımlar.
Etkilenen Sistemler
IronWorm’un etkilediği sistemlerde görülen bazı davranışlar şunlardır:
- Geliştirici veya CI ortamının ele geçirilmesi.
- Trojanize edilmiş paket sürümlerinin yayımlanması.
- Önceki suç ortaklığı olan Shai Hulud’a benzer davranışlar.
Saldırının başlangıcı, “asteroiddao” adında bir kompromize hesap üzerinden yapılmış, burada Rust ELF ikili dosyası ‘preinstall’ aracılığıyla çalıştırılmıştır.
Çözüm ve Korunma
Araştırmalar sonucunda, Ox Security IronWorm saldırısının erken tespit edildiğini ve daha popüler paketlere yayılmadan durdurulduğunu belirtmektedir. Geliştiricilere öneriler:
- En güncel sürümlere yükseltin.
- Kimlik bilgilerinizi döndürün.
- Her hesap için iki faktörlü kimlik doğrulama (2FA) etkinleştirin.
Dikkat çeken bir diğer nokta, zararlının kendi kripto para cüzdanlarının kurtarma ifadesini sabit kodlamış olmasıdır. Bu durum, zararlının, test aşamasında cüzdanın çalınmasını istemediğini göstermektedir.
Sonuç
Geliştiriciler ve siber güvenlik uzmanları, IronWorm saldırısından korunmak için yukarıda belirtilen önlemleri almak zorundadır. Ayrıca, sistemlerinizi izlemeye alarak, benzer tedarik zinciri saldırılarına karşı hazırlıklı olmak önemlidir. Güncellemeleri ve güvenlik yamalarını takip etmek, yazılım geliştirme süreçlerinde kritik bir rol oynamaktadır.
