Giriş
Son dönemde, 148 npm paketinin, öğrenci web proxyleri olarak maskelediği ve ziyaretçilerin tarayıcılarını yaklaşık iki hafta boyunca dağıtık hizmet reddi (DDoS) botnet’ine dönüştürdüğü tespit edilmiştir. Bu tür saldırılar, siber güvenlik alanında ciddi bir tehdit oluşturmakta ve geliştiricilerin dikkat etmesi gereken önemli konular arasında yer almaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı, geliştiricileri hedef almaktansa, öğrenci proxyleri aracılığıyla kullanıcıların tarayıcılarından DDoS trafiği oluşturarak gerçekleştirilmektedir. Bu paketlerin bazıları şunlardır:
- charlie-kirk
- ilovefemboys
- miguelphonk
Bu paketler, “Lucide” adlı bir proxy uygulaması içermekte ve “Riverbend Tutoring” veya “Northstar Tutoring” adlarıyla şişirilmektedir. Başta sorunsuz çalışıyor gibi görünen bu proxy, bağlandıkları anda ziyaretçilerin tarayıcılarına kötü amaçlı yükler indirmekte ve DDoS saldırıları gerçekleştirmektedir.
Etkilenen Sistemler
Yapılandırmalarında herhangi bir yaşam döngüsü kancası veya yerel yapılandırma betiği olmadığından, bu paketler yükleme aşamasında çalışmamaktadır. Ancak bu, kullanıcıların tarayıcıları aracılığıyla siber saldırganların kontrolüne girmeyecekleri anlamına gelmez. Özellikle öğrencilerin kullandığı sistemlerde hedef alınan bazı anahtar unsurlar bulunmaktadır.
Teknik Detaylar
JFrog tarafından gerçekleştirilen araştırma, saldırının iki ana modül içerdiğini ortaya koymuştur:
1. G2: Uzak bir betik yükleyici. Bu modül, kodu güvenli bir şekilde indirmemekte ve GitHub’dan doğrudan JavaScript çekmektedir.
2. I2: WebSocket üzerinden kontrol sağlayan bir modül. Bu modül, belirlenen bağlantı sayısına göre ayarlanmış bir WebSocket URL’sine bağlanmakta ve bağlantı açmaktadır.
Bu iki modül, tarayıcıların arka planda DDoS trafiği oluşturmasını sağlamaktadır.
Çözüm ve Korunma
Saldırıdan etkilenen sistemler için öneriler şöyledir:
- Okul ve kurumsal ağ yöneticileri, ilgili anda kullanılan domainleri DNS düzeyinde engellemelidir.
- Bir proxy sitesi açmış olan herkes, tarayıcı önbelleğini ve yerel depolama alanını temizlemelidir.
- Paket yöneticileri, etkili paketleri manifestlerden ve kilit dosyalarından çıkarmalı ve sistemleri temiz bir şekilde yeniden yapılandırmalıdır.
Saldırıya dair tüm ayrıntıları içeren bir liste JFrog’un raporunda bulunmaktadır.
Sonuç
Siber saldırılara karşı koyma konusunda etkili bir strateji geliştirmek kritik öneme sahiptir. Kullanıcıların güvenliğini sağlamak için, npm paketlerinin sadece tanınmış kaynaklardan indirildiğinden emin olunmalıdır. Ayrıca her zaman güncellemeleri takip edin ve şüpheli aktiviteleri hemen bağlantıdan çıkarın. Bu tür olayların farkında olmak, siber güvenlik alanında daha bilinçli ve hazırlıklı olmanıza yardımcı olacaktır.


