Malware Tehditinin Yükselişi: “Os-info-checker-es6”
Son dönemde siber güvenlik alanında dikkat çeken bir gelişme yaşandı. Araştırmacılar, "os-info-checker-es6" adlı zararlı bir paket keşfetti. Bu paket, kendisini bir işletim sistemi bilgi aracı olarak tanıtarak, hedeflenen sistemlere gizlice bir sonraki aşama zararlısını bırakmayı amaçlıyor. Veracode, bu kampanyanın akıllı bir şekilde Unicode tabanlı steganografi kullandığını ve Google Takvim etkinlik kısayolunu dinamik bir dropper olarak kullandığını açıkladı.
İlk Yayın ve İlgili Paketler
"Os-info-checker-es6" paketi, 19 Mart 2025 tarihinde "kim9123" adlı bir kullanıcı tarafından npm kaydına eklendi. Yazının yazıldığı tarihte, bu paket toplamda 2,001 kez indirilmiştir. Aynı kullanıcı ayrıca "os-info-checker-es6" paketini bir bağımlılık olarak listeleyen başka bir npm paketi olan "skip-tot"u da yüklemiştir; bu paket ise 94 kez indirilmiştir. İlk beş versiyonunda veri sızıntısı veya zararlı davranış belirtileri gözlemlenmemiştir, fakat 7 Mayıs 2025’te yayınlanan bir güncellemeyle birlikte, "preinstall.js" dosyasında karışık kod bulunmuştur.
Karşılaşılan Tehlike ve Zararlı Kodlar
Bu zararlı kod, bir Google Takvim etkinlik kısayoluyla iletişim kurmak üzere tasarlanmıştır. Bu kısayol, Base64 kodlu bir dizeyi başlık olarak kullanarak "140.82.54[.]223" IP adresine yönlendirmektedir. Yani, Google Takvim, saldırganın kontrolündeki altyapıyı gizlemek için bir gizli geçit olarak kullanılıyor. Şu an için başka bir zararlı yük veya tehlikeli içerik dağıtılmamaktadır. Bu durum, kampanyanın hala devam ettiğini veya şu an için pasif kaldığını gösteriyor olabilir.
Google Takvim’in Kullanımı ve Saldırı Taktikleri
Veracode, Google Takvim gibi geniş çapta güvenilir olan bir hizmetin, sonraki komut ve kontrol (C2) bağlantısını barındırmak amacıyla kullanıldığını belirtiyor. Bu, tespitten kaçınmak ve saldırının ilk aşamalarını engellemeyi zorlaştırmak için akıllıca bir stratejidir. Ayrıca, "os-info-checker-es6" paketine bağımlı üç başka paketin daha bulunduğu kaydedilmiştir. Bu paketlerin de aynı kampanya ile bağlantılı olduğu düşünülmektedir:
- vue-dev-server
- vue-dummyy
- vue-bit
Tehdidin Gelişen Yapısı
Veracode, "os-info-checker-es6" paketinin npm ekosisteminde karmaşık ve gelişen bir tehdit temsil ettiğini açıkladı. Saldırgan, görünüşteki test sürecinden, çok aşamalı bir zararlının dağıtımına doğru bir evrim göstermiştir. Özellikle, 2025’in ilk yarısında yazılım tedarik zinciri güvenliği alanında typoquatting, Go deposu önbellek kötüye kullanma, karışık kodlama, çok aşamalı yürütme gibi teknikler öne çıkmıştır.
Güvenlik Önlemleri ve Savunma Stratejileri
Siber güvenlik araştırmacıları, bu tür saldırılara karşı önlem almanın ve savunma stratejileri geliştirmenin önemini vurgulamaktadır. "Davranışsal sinyallere" odaklanmanın ve şaşırtıcı olan postinstall scripts, dosya üzerine yazma ve yetkisiz çıkış trafiğini kontrol etmenin kritik olduğunu belirtmektedirler. Üçüncü taraf paketlerin kullanımından önce doğru bir şekilde doğrulanması gerektiği de unutulmamalıdır. Statik ve dinamik analiz, versiyon sabitleme ve CI/CD günlüklerinin titiz bir incelemesi, zararlı bağımlılıkların üretim ortamına ulaşmadan tespit edilmesi açısından son derece önemlidir.
Saldırganların bu tarz teknikleri kullanarak gelişmiş tehditler oluşturduğuna dikkat çekmek, bu alandaki araştırmaların ve güvenlik uygulamalarının sürekli olarak güncellenmesi gerektiğini göstermektedir. Bu bağlamda, yazılım tedarik zincirleri üzerindeki baskının artması, siber güvenlik topluluğunun daha fazla duyarlılık ile hareket etmesini gerektiriyor. Unutulmaması gereken bir diğer önemli nokta, bu tür saldırıların, son kullanıcılar ve geliştiriciler üzerindeki etkisinin artarak devam ettiğidir.
