Kötü Amaçlı Ruby Gemleri: 275.000 İndirme ve Geliştiricileri Hedef Alma
Son aylarda, 2023 Mart ayından bu yana 60 kötü amaçlı Ruby gemi, geliştirici hesaplarını hedef alarak 275.000‘in üzerinde indirme aldı. Socket tarafından yapılan araştırmaya göre, bu kötü amaçlı yazılımlar, özellikle güney Koreli kullanıcıları hedef aldıkları belirtiliyor. Kullanıcılar, sosyal medya otomasyon araçları için bu zararlı yazılımların tuzağına düşmüş durumda.
RubyGems Nedir?
RubyGems, Ruby programlama dili için resmi bir paket yöneticisidir. Ruby kütüphanelerinin, bilinen adıyla gems, dağıtımını, yüklenmesini ve yönetimini sağlamak amacıyla kullanılmaktadır. JavaScript için npm veya Python için PyPI gibi benzer işlevsellik sunar. RubyGems.org üzerindeki kötü amaçlı yazılımlar, yıllar içinde farklı takma isimlerle yayımlanmış ve bu durum, takip edilmesini zorlaştırmıştır.
Kötü Amaçlı Gemi Yayıncıları
Kötü amaçlı bu gemlerin yayıncıları, zon, nowon, kwonsoonje ve soonje gibi isimlerle bilinmektedir. Birden fazla hesap kullanarak yapılan bu faaliyetler, izlenmeyi daha da zorlaştırıyor. Socket’in raporunda, bu zararlı paketlerin tam listesi mevcuttur. Aşağıda dikkat çekici bazı gem isimlerini bulabilirsiniz:
- WordPress Tarzı Otomasyon Araçları:
wp_posting_duo,wp_posting_zon - Telegram Tarzı Botlar:
tg_send_duo,tg_send_zon - SEO/Backlink Araçları:
backlink_zon,back_duo - Blog Platformu Taklitleri:
nblog_duo,nblog_zon,tblog_duopack,tblog_zon - Naver Café Etkileşim Araçları:
cafe_basics[_duo],cafe_buy[_duo],cafe_bey
Gerçekleşen Tehditler
Bu 60 gem, kullanıcı arayüzü (GUI) olarak meşru görünümler sunarken, gerçekte birer phishing aracı olarak çalışmaktadır. Kullanıcılar, giriş formuna girdikleri kimlik bilgilerini, hardcoded bir komut ve kontrol adresine iletmektedir. Bu adresler arasında programzon[.]com, appspace[.]kr ve marketingduo[.]co[.]kr yer almaktadır.
Elde edilen veriler ise, kullanıcı adları ve şifreler, cihaz MAC adresleri gibi bilgileri içermektedir. Kullanıcıların giriş yaptığı gerçek hizmetlere herhangi bir çağrı yapılmadan, bazı durumlarda sahte başarı veya başarısızlık mesajları ile karşı karşıya kalınmaktadır.
Kötü Amaçlı Yazılımın İzleri
Socket, bu kampanyayla bağlantılı olan kullanıcı bilgilerini gösteren kayıtları, özellikle Rusça konuşulan karanlık internet pazaryerlerinde bulmuştur. Bu durum, marketingduo[.]co[.]kr ile etkileşimlerden kaynaklı bir veri sızıntısı olduğunu göstermektedir.
Süreklilik ve Tehditin Boyutu
Socket, 60 kötü amaçlı Ruby geminin en az 16’sinin hâlâ mevcut olduğunu belirtirken, tüm zararlı yazılımları keşfettikleri anda RubyGems ekibine bildirdiklerini ifade etmiştir. RubyGems üzerindeki tedarik zinciri saldırıları, son birkaç yıldır yaygın bir şekilde gerçekleşmektedir. Geçtiğimiz Haziran ayında, Socket, Telegram bot geliştiricilerini hedef alan bir başka kötü amaçlı Ruby gemi örneğini daha rapor etmiştir.
Geliştiricilere Tavsiyeler
Geliştiricilerin, açık kaynak havuzlarından aldıkları kütüphaneleri dikkatlice incelemeleri büyük önem taşımaktadır. Şüpheli kodlar veya obfuscated (karmakarışık hale getirilmiş) parçalar için dikkatlice kontrol edilmeli, yayıncıların itibarları ve yayımlama geçmişleri dikkate alınmalıdır. Ayrıca, bileşenlerin ‘güvenli olduğu bilinen’ versiyonlarına kapatılması önerilmektedir.
Bu tür olaylar, yazılım geliştiricilerin dikkatli olmalarının gerekliliğini bir kez daha gözler önüne sermektedir. Güvenilir kaynaklardan yazılım kullanmanın önemi, kullanıcıların ve geliştiricilerin bilgilerinin güvenliği adına kritik bir unsur haline gelmiştir. Kötü amaçlı yazılımlar, sadece hedef aldıkları insanları değil, aynı zamanda geliştirdikleri ürünlerin de güvenilirliğini tehdit etmektedir.
