WhatsApp Geliştiricilerine Yönelik Tehditler
Son günlerde, WhatsApp geliştiricilerini hedef alan iki kötü niyetli NPM paketi keşfedildi. Bu paketler, kullanıcıların bilgisayarlarındaki dosyaları silen kötü amaçlı kodlar içeriyor. Socket araştırmacıları, bu paketlerin aslında WhatsApp soket kütüphaneleri gibi görünerek nasıl zararlı yazılımlar barındırdığını ortaya koydu.
Bu iki kötü niyetli paket, naya-flore ve nvlore-hsc olarak adlandırılıyor. Yayınlandıkları geçen aydan bu yana, toplamda 1,100’den fazla kez indirildi. Socket, bu paketlerin yayımcısını, yani nayflore’u şikayet etmiş olsa da, şu an için bu paketler hala erişilebilir durumda.
Paketlerin Özellikleri
Naya-flore ve nvlore-hsc paketleri, WhatsApp eşleştirme işlemlerini ele alması gereken bir işlev içeriyor. Bu işlev, bir GitHub adresinden base64 kodlu bir JSON dosyası çekiyor. Bu JSON dosyası, bazı Endonezyalı telefon numaralarını içeren bir liste barındırıyor. Bu numara sahipleri kötü niyetli işlevsellikten muaf tutuluyor. Ancak, diğer kullanıcılar için kod, mevcut dizindeki tüm dosyaları silmeye yarayan rm -rf * komutunu çalıştırıyor. Bu durum, geliştiricilerin sistemlerinden tüm kodları ve dosyaları etkili bir şekilde silmesine sebep oluyor.
Önlem Almanın Önemi
Socket, bu kötü niyetli paketlerde ayrıca, yara alması durumunda dikkate alınabilecek bir veri dışa çıkarma işlevinin de mevcut olduğunu belirtiyor. Bu işlev, kurbanın telefon numarasını, cihaz kimliğini ve diğer bazı bilgileri dışarı gönderebilir. Ancak bu işlev, her iki pakette de yalnızca yorum satırı halindedir ve şu anda devre dışıdır. Yine de, geliştiricilerin dikkatli olması gerekiyor.
Go Ekosisteminde Yeni Tehditler
Socket, bununla birlikte, Go ekosisteminde de 11 adet kötü niyetli paket keşfetti. Bu paketler, string-array obfuscation kullanarak gizli bir şekilde uzaktan yüklenmiş yüklemeleri çalıştırıyor. Bu paketler, bir kabuk açarak, uzaktan bir ikinci aşama komut dosyası veya çalıştırılabilir dosya alıyor ve bunu bellek üzerinde çalıştırıyor. Hedefler arasında Linux CI sunucuları ve Windows iş istasyonları yer alıyor.
Bu paketler genellikle “typosquat” olarak bilinen bir türdür. Geliştiricilerin yazım hatalarını veya karışıklıklarını kullanarak onları indirmeye ikna etmeyi hedefliyor. Aşağıda, Socket tarafından tespit edilen bazı kötü niyetli paketlerin listesi bulunmaktadır:
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/TNSR_IDS
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
Bu paketlerin büyük bir kısmı hala çevrimiçi duruyor. Bu nedenle, Go geliştiricilerinin dikkatli olması ve kullandıkları bileşenleri iki kez kontrol etmeleri önemlidir.
Kötü Niyetli Yazılımlar ve Güvenlik Önlemleri
Geliştiricilerin, kullandıkları paketlerin güvenliğinden emin olmaları gerekiyor. NPM ve Go ekosistemindeki zararlı paketler, ciddi veri kayıplarına ve güvenlik ihlallerine neden olabilir. Güvenlik yazılımları kullanarak sisteme bulaşabilecek zararlılara karşı koruma sağlamak da hayati önem taşır. Ayrıca, güncel yazılım ve paketleri kullanmak, potansiyel güvenlik açıklarını minimize edecektir.
Geliştiriciler, kullandıkları kütüphanelerin ardındaki yayıncıları araştırmalı ve açık kaynak dünyasında yaygın olan bu tür dolandırıcılıklara karşı daha dikkatli olmaları gerektiğini unutmamalıdır. Bilgilerini kaybetmemek için, her zaman en iyi güvenlik uygulamalarını takip etmek kritik bir rol oynamaktadır.
Özellikle büyük işletmeler, WhatsApp’ın Cloud API’sini kullanarak müşteri ile iletişim kurma ihtiyacını artırdıkça, bu tür kötü niyetli paketlerin dikkat çekmesi bekleniyor. Geliştiricilerin, karşılaşacakları bu tür tehditlere karşı önceden hazırlık yapmaları, siber güvenliklerini artırmak adına hayati önem taşımaktadır.
