Giriş
npm ekosisteminde yaşanan bir dizi yazılım tedarik zinciri saldırısı, kötü niyetli aktörlerin 50’den fazla meşru paketin hem zehirlenmiş hem de sahte versiyonlarını kullanarak Rust tabanlı bir bilgi hırsızı ve kendini yayabilen bir solucanı dağıtmasını sağladı. Bu saldırılar, geliştiricilerin makinelerine zarar verebilecek önemli güvenlik açıklarını gündeme getiriyor.
Saldırı Nasıl Çalışıyor?
Yeni malware, IronWorm adıyla anılan bir bilgi hırsızı ve kendini yayabilen bir solucan olarak tanımlandı. JFrog’un bildirdiğine göre, bu bilgi hırsızı geliştiricilerin makinelerinde bulabildiği her gizli bilgiyi topluyor ve bir eBPF çekirdek rootkit’i arkasında saklanarak Tor üzerinden operatörüne geri bildirimde bulunuyor.
Malware, çalınan kimlik bilgilerini bir yayılma mekanizması olarak kullanıyor ve ünlü Shai-Hulud solucanına benzerlik gösteriyor. Bu yeni saldırı teknikleri, npm kayıt defterine trojan paketleri şeklinde yayınlanarak kendini çoğaltıyor. Kötü amaçlı faaliyetler, asteroiddao adındaki bir npm hesabının ele geçirilmesi ile ilişkilendiriliyor. Bu hesap, Rust ELF ikili dosyasını içeren paket versiyonlarını yayımladı.
Etkilenen Sistemler
Malware, şu ortam değişkenlerini hedef alıyor:
- OpenAI Codex
- Anthropic
- Claude
- Google Gemini
- Cursor
- Amazon Web Services (AWS)
- Docker
- Kubernetes
- npm
- Exodus kripto para cüzdanı
Saldırının bir diğer ilginç yönü, cüzdan verilerini çalan sınıfın kötü niyetli aktörün kendi cüzdanını atlamasına olanak tanımasıdır. Şu an için, cryptocurrency wallet tamamen boş durumda.
Çözüm ve Korunma
JFrog, IronWorm’u “projeleri değiştirmek, gizli bilgileri bulmak ve zararlı kodu enjekte etmek için kullanılan bir tedarik zinciri silahı” olarak tanımlıyor. Geliştiricilerin, etkilenen paketlerin sürümlerini kontrol etmesi ve aşağıdaki önlemleri alması önemlidir:
- Kimlik bilgilerini değiştirmek
- Kurulum komutlarını devre dışı bırakmak
- Paketlerin bütünlük hash’leri ile kilitlenip kilitlenmediğini kontrol etmek
Şu an için keşfedilen bir başka saldırı türü ise, Miasma solucanı üzerindeki güncel kampanya. Bu kampanya kapsamında, 57 npm paketi ve 286’dan fazla kötü versiyon kullanıldı.
Geliştiricilerin, ayrıca CVE kodları ile tanımlanan güvenlik güncellemelerini takip etmeleri ve belirgin riskleri göz önünde bulundurup gerekli önlemleri almaları önerilmektedir.
Sonuç
Okuyucular, etkilenen paketlerin kurulumunu gerçekleştiren sistemlerde hemen gereken güncellemeleri yapmalıdır. Kötü niyetli kodları önlemek için, portları kapatmak ve güvenlik önlemlerini artırmak kritik öneme sahiptir. Güvenliğinizi korumak için gerekli adımları atmayı ihmal etmeyin.
