Giriş
Siber güvenlik araştırmacıları, iki adet ele geçirilmiş npm paketinin ve Go paketleri grubunun, hedef alınmış Windows, Linux ve macOS sistemlerinde Python tabanlı bir bilgi çalma aracını yaymak amacıyla tasarlanmış olduğunu ortaya koydu. Bu tür saldırılar, geliştiricilerin ve teknik personelin güvenliğini tehdit eden büyük bir risk oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Bu saldırı, npm’in yaşam döngüsü komutlarını geçerek, bazı güvenlik önlemlerini atlatmayı hedefliyor. Saldırı, Microsoft Visual Studio Code (VS Code) içindeki bir görevi kullanarak başlatılıyor. Bu görevin adı “eslint-check” olup, projenin klasörü açıldığında otomatik olarak çalışacak şekilde yapılandırılmıştır. Aşağıda, belirlenen npm paketleri listelenmiştir:
- html-to-gutenberg
- fetch-page-assets (html-to-gutenberg ile ilişkilendirilmiştir)
Bu paketler 25 Mayıs 2026’da npm’e yüklenmiş ve artık indirme için kullanılabilir değildir. Saldırının başlangıç noktası, “runOn: ‘folderOpen'” olarak ayarlanmış olan VS Code görevidir. Bu yapılandırma, klasör açıldığında rasgele kodun çalıştırılmasına olanak tanır.
Etkilenen Sistemler
Saldırı, yalnızca npm paketleriyle sınırlı kalmayıp, aynı zamanda Go ekosistemini de hedef almıştır. Nextron Systems, aynı kötü amaçlı yazılımı içeren 16 Go paketini tespit etmiştir. Aşağıda bu paketler listelenmiştir:
- github.com/lambda-platform/lambda
- github.com/reauheau/goaubio
- github.com/glacialspring/go-winsparkle
- github.com/bm-197/chill
- github.com/naol7/dist-task-scheduler
- github.com/anatoli-derese/a2sv-excercise
- github.com/amantsehay/a2sv-go-course
- github.com/dexbotsdev/uniswap-v2-v3-arbitrage
- github.com/lambda-platform/ebarimt-rest-api
- github.com/lambda-platform/dan
- github.com/zainirfan13/graphql-client
- github.com/hngi/team-fierce-backend-golang
- github.com/glacialspring/static
- github.com/rickt/slack-weather-bot
- github.com/Barsu5489/commerce
- github.com/Setsu548/Logistic
Çoğu, orijinal paket içeriği ile birlikte kötü amaçlı yazılımı içeren meşru paketler gibi görünmektedir.
Çözüm ve Korunma
Bu paketleri yükleyen kullanıcıların hemen şu adımları izlemesi önerilmektedir:
- Paketleri hemen kaldırın.
- Geliştirici makinelerinizde gizli VS Code klasör açma görevlerini arayın.
- Kimlik bilgilerini, token’ları, bulut erişim bilgilerini, API anahtarlarını, tarayıcıda saklanan kimlik bilgilerini ve cüzdan kimlik bilgilerini değiştirin.
Araştırmalara göre, kötü niyetli kişiler hem hızlı bir hırsızlık gerçekleştirmekte hem de etkileşimli erişim sağlamayı hedeflemektedir. Socket.io tabanlı arka kapı, komut çalıştırma ve dosya toplama özelliklerine olanak vermektedir. Python aşaması ise, kapsamlı kimlik ve cüzdan bilgisi çalma işlemlerini gerçekleştirmektedir.
Güvenlik uzmanları, bu tür saldırılara karşı güvenlik güncellemelerini dikkatle izlemeli ve sistemlerini korumak için gerekli önlemleri almalıdır.
