Son Gelişmeler
npm platformunda bulunan @asyncapi isim alanındaki dört paket, bir çok aşamalı botnet yükleyicisi dağıtmak için tehlikeli bir şekilde ele geçirildi. Bu durum, yazılım geliştiriciler ve güvenlik uzmanları için büyük bir tehdit oluşturuyor.
Etkilenen Paketler
Aşağıdaki paketler, söz konusu güvenlik ihlalinden etkilenmiştir:
- @asyncapi/[email protected]
- @asyncapi/[email protected]
- @asyncapi/[email protected]
- @asyncapi/specs (v6.11.2, v6.11.2-alpha.1)
Saldırı Nasıl Çalışıyor?
Ele geçirilmiş paketler, obfuscate edilmiş bir ilk aşama yükünü dağıtarak, IPFS üzerinden şifrelenmiş ikinci aşama yüklenici olan Miasma’yı indiriyor. Bu paketler, her biri gizli bir JavaScript implantı içeren bir kaynak dosyası içeriyor ve bu dosya, aynı ikinci aşama indirgiciye dekoder olarak işlev görüyor. Kötü niyetli kod, enfekte bir modül Node.js tarafından yüklendiğinde çalışıyor; ardından, bir arka plan nodu başlatıyor ve IPFS üzerinden kötü amaçlı yazılım indirip yürütüyor.
İkinci Aşama Yükleyici
İkinci aşama yükleyici, “sync.js” adını taşıyan şifreli bir JavaScript yükleyicisidir. Bu, işletim sistemi özel yollarına yazılır ve yürütülür. Yükleyici URL’si “ipfs[.]io/ipfs/QmQobZSp1wRPrpSEQ56qnyq7ecZh5Bg5k1fnjt4SUwwHb9” dir. Yükleyici aşağıdaki iki bileşeni içerir:
- Şifreli nihai JavaScript yükü, Miasma görev çerçevesine dekoder olarak işlev görür
- Çalışma süresinin spawn-chain çerçevesi tarafından kullanılan büyük bir şifreli blob
Miasma’nın Özellikleri
Miasma, kimlik hırsızlığı , AI araç zehirlenmesi , LAN yatay hareket ve npm , PyPI ve Cargo kayıtlarında solucan benzeri yayılma gibi çeşitli tehlikeleri beraberinde getiriyor. Kendi başına kalıcılık mekanizması da kurarak, sistemd, crontab, macOS launchd ve Windows Kayıt Defteri otomatik başlatma anahtarları oluşturuyor.
Önemli Uyarılar
Miasma , bir ölü adamın anahtarı ekleyerek çalınan bir jetonu gözlemliyor ve jeton iptal edilirse bir dizin silme işlemi tetikleniyor. Bu kötü amaçlı yazılım, yalnızca belirli sistemleri hedef alıyor ve CrowdStrike, SentinelOne, Microsoft Defender, CarbonBlack, Cylance, Osquery, Tanium ve Qualys gibi güvenlik araçları olan ortamları atlıyor.
Çözüm ve Korunma
Geliştiricilerin etkilenen paketleri kullanan projelerini gözden geçirmeleri ve aşağıdaki adımları atmalarını öneriyoruz:
- npm üzerinden etkilenen paketlerin güncellemelerini kontrol edin ve en son sürümlerine güncelleyin.
- Herhangi bir etkilenen versiyonu çalıştıran ya da içeren bir sistemi potansiyel olarak risk altında olarak değerlendirin.
- Geliştirme ve üretim ortamlarınızda herhangi bir kötü amaçlı yazılımın bulunmadığından emin olun.
- Güvenlik duvarlarınızı ve izleme araçlarınızı güncel tutun.
Sonuç olarak, geliştiricilerin güncellemeleri hızlı bir şekilde uygulamaları ve etkilenen paketleri kullanan sistemlerini kontrol etmeleri kritik önem arz etmektedir.


