NPM Paketlerinde Tehlikeli Malware: Kuzey Kore’nin Contagious Interview Operasyonu
Son yıllarda siber güvenlik tehditleri, özellikle yazılım geliştiricilerini hedef alan karmaşık ve sofistike saldırılarda büyük bir artış gösterdi. Özellikle Kuzey Kore destekli tehdit aktörlerinin yürüttüğü Contagious Interview operasyonu, yazılım dünyasında ciddi tehlikeler yaratıyor. Yeni açığa çıkarılan kötü amaçlı npm paketleri, bu operasyon kapsamındaki etkileri ve hedefleri ile dikkat çekiyor.
Tehlikeli NPM Paketleri ve Yüksek İndirme Sayıları
Araştırmalar, 24 farklı npm hesabından yüklenen 35 kötü amaçlı paketi ortaya çıkardı. Bu paketlerin toplamda 4,000’den fazla kez indirildiği belirtiliyor. İşte bu paketlerden bazıları:
- react-plaid-sdk
- sumsub-node-websdk
- vite-plugin-next-refresh
- vite-loader-svg
- node-orm-mongoose
- router-parse
Bu paketlerin her biri, HexEval adında hex kodlu bir yükleyici içeriyor. HexEval, kurulum sonrası ana bilgisayar bilgilerini toplamakta ve ardından bir JavaScript stealer olan BeaverTail’ı indirmek ve çalıştırmak üzere bir yedeği teslim etmektedir. BeaverTail ise, sızan sistemler üzerinde hassas verileri toplamak ve uzaktan kontrol sağlamak için kullanılan bir Python arka kapısı olan InvisibleFerret’i indirip çalıştırıyor.
Tehdit Aktörlerinin Gelişmiş Yöntemleri
Bu tür bir yapının evrimleşmesi, Kuzey Koreli tehdit aktörlerinin siber saldırı metodolojisinde ne denli ustalaştığını gösteriyor. Socket araştırmacısı Kirill Boychenko, "Bu yuvarlakçık yapısı, kampanyanın temel statik tarayıcılardan ve manuel incelemelerden kaçmasına yardımcı oluyor." demekte. Ayrıca, bir npm takma adı altında çapraz platform anahtar kaydedici paketi bile dahil edilerek, hedef belirleme amacıyla daha derin gözetim için özelleştirilmiş yüklerin gönderilmesi sağlanmıştır.
İş İlanları Üzerinden Düzenlenen Tuzaklar
Contagious Interview operasyonda, siber suçlular genellikle LinkedIn üzerindeki sahte kişilikler aracılığıyla yazılım mühendislerini hedef alıyor. İş arayan yazılım geliştiricilere sahte iş ilanları göndererek, onları GitHub veya Bitbucket üzerindeki kötü amaçlı projeleri indirmeye ikna ediyorlar. Boychenko, "Sahte kişilikler, genellikle senaryoda yer alan iletiler ve ikna edici iş tanımları ile iletişime geçiyor." biçiminde açıklıyor.
Mekanizmanın etkinliği, özellikle iş arayanların genellikle işe alım uzmanlarına duyduğu güveni istismar ederek giderek artıyor. Hedeflenen yazılımcılar, bu projeleri konteynerize edilmemiş ortamda çoğaltmaya ve çalıştırmaya sözde mülakat süreci sırasında teşvik ediliyorlar.
Kuzey Kore’nin Saldırı Taktikleri ve Sonuçları
Bu kötü amaçlı kampanya, Kuzey Koreli tehdit aktörlerinin tedarik zinciri saldırılarındaki evrimi, aynı zamanda yazılım geliştiricileri güvenli ekosistemler aracılığıyla nasıl kısıtladıklarını gösteriyor. Socket, "Açık kaynak paketlerine HexEval gibi kötü amaçlı yükleyiciler entegre edilmesi ve bunların sahte iş atamaları aracılığıyla iletilmesi, saldırganların dış savunmalardan kaçınmasını sağlıyor." diyerek durumu özetliyor.
Tüm bu gelişmeler, yazılım dünyasında güvenlik açıklarının ne kadar kritik olduğunu ve bu tür saldırılara karşı dikkatli olunması gerektiğini vurguluyor. Her ne kadar teknoloji ve yazılım geliştirme alanında ilerlemeler kaydedilse de, kötü niyetli aktörlerin bu imkanları nasıl kötüye kullandığını görmek hepimizi derin bir düşünceye sevk ediyor.
Bu tür olayların daha fazla ortadan kaldırılabilmesi için, yazılım geliştiricilerin güvenlik önlemleri hakkında bilinçlenmesi ve potansiyel tehditleri tanıması büyük önem taşıyor. Siber güvenlik tehditlerine dair farkındalık, hem bireysel hem de kurumsal düzeyde artış göstermeli. NPM gibi popüler platformlarda daha büyük bir sorumluluk gösterilmesi gerektiği unutulmamalıdır.
