Son Gelişmeler ve Önemi
Kuzey Kore ile bağlantılı kötü niyetli aktörler, uzaktan erişim ve veri hırsızlığını sağlamak amacıyla sahte npm paketleri yayımlamışlardır. Bu olay, yazılım geliştiricileri ve şirketler için ciddi bir tehlike oluşturmakta.
Saldırı Nasıl Çalışıyor?
Söz konusu saldırılar, rollup-packages-polyfill-core ve rollup-runtime-polyfill-core isimli paketleri kullanarak gerçekleşmektedir. Bu paketler, rollup-plugin-polyfill-node projesini taklit eden isimlendirme, açıklama ve meta verilerle sahneye çıkmaktadır. JFrog’a göre, bu görünüm, hızlı bir bağımlılık incelemesinde yanıltıcı olabilir.
Ayrıca, bu kampanya kapsamında dört farklı paket daha tespit edilmiştir ve bunlar npm kaydından kaldırılmıştır:
- quirky-token
- react-icon-svgs
- rollup-plugin-polyfill-connect
- swift-parse-stream
Bu paketler, ağa bağlı ikincil aşamaları yükleyerek, kullanıcıların sistemlerine zararlı yazılımlar yüklemektedir.
Etkilenen Sistemler
Saldırıların etkilediği sistemler şunlardır:
- Geliştirici çalışma alanları
- CI/CD ortamları
Bu tür sistemler, genellikle hassas verilerin erişimine sahip oldukları için hedef alınmaktadır. Ayrıca, yüklenen kötü amaçlı yazılımlar, bulut anahtarları, SSH anahtarları ve proje gizlilikleri gibi değerli bilgilere ulaşma yeteneğine sahiptir.
Çözüm ve Korunma
Kullanıcıların, belirtilen paketlerden herhangi birini yüklemiş olmaları durumunda aşağıdaki adımları izlemeleri önemle tavsiye edilmektedir:
- Paketleri sistemlerinden kaldırın.
- Kompromize olduğunu kabul ederek, kimlik bilgilerini değiştirme işlemlerini başlatın.
- Kötü niyetli çıkış kanallarını engelleyin.
- CI/CD süreçlerinde bağımlılık tarama özelliklerini etkinleştirin.
Bu önlemler, kullanıcıların sistemlerinin güvenliğini sağlamaları açısından kritik öneme sahiptir.
Kısa bir süreliğine sahte paketleri yükleyerek sistemlerine kötü amaçlı yazılımlar sızmış olan kullanıcıların, derhal gerekli önlemleri almaları ve güvenlik durumu hakkında bilinçlenmeleri gerekmektedir.


