Kuzey Kore Kaynaklı Malware Tehditleri: NPM Kayıtları Üzerindeki Etkileri
Son dönemde Kuzey Koreli siber tehdit gruplarının Contagious Interview kampanyası kapsamında, npm (Node Package Manager) kayıtlarına 67 adet kötü amaçlı paket eklediği belirtiliyor. Bu durum, açık kaynak ekosistemini hedef alan yazılım tedarik zinciri saldırılarının devam ettiğini gösteriyor. Socket araştırmacıları tarafından yapılan açıklamalara göre, bu paketler 17,000’den fazla indirilmiş durumda. İçlerinde daha önce belgelenmemiş bir malware loader olan XORIndex‘in bulunduğu anlamına geliyor.
Malware Yükleyicilerinin Gelişimi
Kuzey Koreli siber tehdit grupları, önceki saldırı dalgalarına benzer bir şekilde yeni malware türlerini ortaya koyarak, geliştiricilerin indirme ve çalıştırma yapmalarını hedefliyor. HexEval olarak bilinen başka bir yükleyici ile birlikte yürütülen bu saldırı dalgası, bilgisayarların içerisine sızarak, veri çalma işlemlerini kolaylaştırıyor. Socket araştırmacısı Kirill Boychenko, “Contagious Interview operasyonu, savunucular kötü amaçlı paketleri tespit ederek bildiriyor, Kuzey Koreli tehdit aktörleri ise hızla yeni varyantlar yükleyerek yanıt veriyor” şeklinde açıklamalar yapıyor.
Tehdit Gruplarının Stratejisi
Contagious Interview kampanyası, geliştiricileri teşvik etmek için oluşturulmuş bir dizi açık kaynak projesinin indirilmesini sağlamak amacıyla geliştirilmektedir. Bu yaklaşımla, iş başvurusu yapmak yerine, zaten belirli şirketlerde çalışan geliştiricileri hedef almaktadır. Böylece siber suçlular, onları daha zayıf birer hedef haline getiriyor.
Bu kötü amaçlı npm paketleri, bir JavaScript yükleyicisi olan BeaverTail için bir birikim görevi görmekte. BeaverTail, web tarayıcılarından ve kripto para cüzdanlarından veri çalmak için kullanılmaktadır. Ayrıca, InvisibleFerret adı verilen bir Python arka kapı da devreye alınarak, sistemler üzerinde daha kapsamlı bir kontrol sağlanmaktadır.
İndirme İstatistikleri ve Zaman Dilimleri
XORIndex yükleyicisinin, kısa bir süre içinde (Haziran’dan Temmuz 2025’e kadar) 9,000’den fazla indirme elde ettiğini vurgulayan Boychenko, HexEval yükleyicisinin de düzenli bir hızda indirildiğini ve 8,000’den fazla ek indirme kaydettiğini açıklıyor. Bu durum, Kuzey Kore yönelik tehditlerin sürekli bir gelişim içinde olduğunu gösteriyor.
Malware’in Evrimi ve Kullanılan Yöntemler
Analizler, XORIndex ve HexEval gibi yükleyicilerin sürekli olarak evrildiğini ve ilk baştaki basit prototiplerden daha karmaşık hale geldiğini ortaya koyuyor. İlk örneklerde obfuscation (karmalaştırma) ve reconnaissance (keşif) yetenekleri sınırlı kalırken, ikinci ve üçüncü nesil versiyonlarda bu görevleri yerine getirecek rudimentary (ilkel) sistem keşif yetenekleri kazandırılmıştır.
Boychenko, “Contagious Interview tehdit aktörleri, kötü amaçlı yazılım portföylerini çeşitlendirmeye devam edecek, yeni npm sahipliği takma adları arasından geçiş yapacak ve XORIndex Loader gibi yeni gözlemlenen varyantları aktif bir şekilde dağıtacak” ifadelerini kullanıyor.
Siber Güvenlik Önlemleri ve Geçmiş Deneyimler
Bu tür saldırılara karşı mücadele etmek için yazılım geliştiricilerin dikkatli olmaları ve yalnızca güvenilir kaynaklardan paketler indirmeleri önemlidir. Ayrıca, geliştiricilerin npm üzerindeki paketlerin içeriğini dikkatlice incelemeleri ve olası kötü amaçlı yazılımlara karşı güvenlik yazılımları kullanmaları tavsiye edilmektedir. Siber güvenlik uzmanları, düzenli güncellemeler ve yedeklemeler ile sistemlerin korunmasını önermektedir.
Açık kaynaklı projelerdeki zafiyetler, geliştiricilerin aynı zamanda kendi projelerinde de güvenlik önlemleri almalarını gerektiriyor. Özellikle uzaktan çalışan geliştiricilerin dikkatli olmaları ve şirket güvenlik politikalarına uygun davranmaları hayati önem taşıyor.
Siber saldırılara karşı sürekli bir sağlamlık ve farkındalık yaratmak, bu tür tehditlere karşı en etkili yol olarak görülüyor.
