Kötü Amaçlı NPM Paketlerinin Tespiti ve Güvenlik Önlemleri
Son günlerde, npm (Node Package Manager) platformunda yaklaşık 60 kötü amaçlı paket tespit edildi. Bu paketler, kurulum sırasında kullanıcının host isimlerini, IP adreslerini, DNS sunucularını ve kullanıcı dizinlerini toplamak için tasarlandı. Yapılan araştırmalar, bu paketlerin bir Discord sunucusuna bilgi gönderdiğini gösteriyor. Socket adlı bir siber güvenlik firması, bu kötü amaçlı kodun tüm işletim sistemlerinde çalışabildiğini ve sanallaştırma ortamları tespit edildiğinde çalışmayı durdurduğunu belirtti.
Kötü Amaçlı Paketlerin Özellikleri
Bu kötü amaçlı paketlerin hedef aldığı üç farklı npm hesabı bulunuyor. Her bir hesap, 11 gün içinde toplamda 20 paket yayımladı. Bu paketlerin toplu olarak 3,000 kez indirildiği kaydedildi. Socket’in araştırmasına göre, kötü amaçlı kod, her makineyi tanımlamak için özel olarak tasarlanmış. Ayrıca, Amazon, Google gibi sanal ortamların varlığı durumunda çalışmayı durduruyor. Toplanan bilgiler arasında, makinenin iç ve dış IP adresleri, DNS sunucuları ve ağ arayüzü kartı bilgileri bulunuyor.
JavaScript Framework’lerine Yönelik Tehditler
Kötü amaçlı paketlerin yanı sıra, başka bir dizi paket, popüler JavaScript çerçeveleri olan React, Vue.js, Vite ve Node.js için yardımcı kütüphaneler olarak maskelemekte. Ancak bu paketler, kurulumları sonrasında zararlı yüklüyor. Toplamda 6,200 kez indirilen bu paketler, hâlâ npm deposunda mevcut. Araştırmacılar, bu paketlerin bazılarının otomatik olarak çalıştığını ve geliştiricilerin projelerinde kullanması durumunda dosyaları silme işlevi olduğunu belirtiyor.
Phishing Saldırıları ve Kimlik Avı
Belirtilen kötü amaçlı paketlerin yanı sıra, siber suçluların kullandığı başka bir saldırı yöntemini daha gözler önüne seriliyor. Phishing (kimlik avı) e-postaları ile kötü amaçlı JavaScript kodlarının birleştirildiği yeni bir saldırı kampanyası tespit edildi. Araştırmalar, bu yöntemin siber saldırganların ünlü Office 365 gibi platformların kimlik bilgilerini ele geçirmeye çalıştığını ortaya koydu.
Visual Studio Code (VS Code) Marketplace Üzerindeki Tehditler
Kötü niyetli yazılımlar yalnızca npm ile sınırlı kalmamış durumda. Microsoft’un Visual Studio Code (VS Code) Marketplace’i de benzer tehlikelerle karşı karşıya. Kullanıcıları hedef alan kötü amaçlı uzantılar, Solidity geliştiricilerinin kripto para cüzdanı bilgilerini çalmaya yönelik tasarlandı. Bu uzantılar, görünüşte faydalı işlevler sunduğunu iddia etmesine rağmen aslında zararlı kodler içeriyor.
Zararlı Uzantıların Özellikleri
Tespit edilen üç kötü amaçlı uzantının isimleri solaibot, among-eth, ve blankebesxstnion. Bu uzantılar, kullanıcıların cüzdan bilgilerini çalmak için karmaşık enfeksiyon zincirleri yaratıyor. Aşağıda belirtilen işleyiş tarzları, zararlı kodların kullanıcıların bilgisayarlarına nasıl sızdığını göstermektedir:
- Uzantılar, aslında yararlı gibi görünen fakat arka planda kötü amaçlı payloadları içeren karmaşık kodlar içeriyor.
- Çeşitli aşamalı malwares kullanılarak, kullanıcının bilgileri gizlice toplanıyor.
Güvenlik Stratejileri ve Önlemler
Bu tür tehditlere karşı dikkatli olmak son derece önemli. Geliştiricilerin ve kullanıcıların, özellikle npm ve VS Code Marketplace gibi platformlardan paket ve uzantı indirmeden önce dikkatli bir şekilde incelemeleri gerekmekte. Aşağıdaki güvenlik stratejileri, potansiyel tehditleri azaltmak için etkili olabilir:
- Paket ve Uzantı İncelemesi: İndirilmeden önce, paketlerin ve uzantıların güvenilirliğini ve son güncellemelerini kontrol edin.
- Antivirüs Yazılımları: Güçlü ve güncel bir antivirüs yazılımı kullanmak, kötü amaçlı yazılımların tespit edilmesine yardımcı olur.
- Eğitim ve Farkındalık: Geliştiricilerin ve kullanıcıların güvenlik konusunda eğitim alması, phishing saldırılarına karşı farkındalık oluşturabilir.
Siber güvenlik tehditleri sürekli gelişiyor ve bu nedenle kullanıcıların daima dikkatli olmaları şart. Bu tür kötü niyetli faaliyetlerin önlenebilmesi için tüm bireylerin siber güvenlik konusunda bilinçli ve duyarlı olması büyük önem taşımaktadır.
