Yazılım Tedarik Zinciri Saldırıları ve Güvenlik Açıkları
Son dönemlerde siber güvenlik uzmanları, npm kayıt defterinde yeni bir yazılım tedarik zinciri saldırısının tespit edildiğini duyurdu. Bu saldırı, 40’tan fazla paketi etkileyerek, birçok geliştiricinin sistemlerini tehdit altına alıyor. Özellikle, Socket adlı güvenlik şirketine göre, saldırının temel amacı, geliştiricilere ait bilgileri ele geçirmek olarak tanımlanıyor.
Hedef Alınan Paketler
Yapılan araştırmalar sonucunda saldırıda etkilenen bazı paketler şunlardır:
- [email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @ctrl/[email protected]
- @nativescript-community/[email protected]
- [email protected]
Bu paketler, yazılım geliştirme süreci içinde sıkça kullanılan araçlar arasındadır ve birçok projede yer almaktadır.
Saldırının Çalışma Mekanizması
Saldırının özünde, NpmModule.updatePackage fonksiyonunun yer aldığı kötü amaçlı bir JavaScript kodu (bundle.js) bulunmaktadır. Bu kod, paketi indirip, package.json dosyasını değiştirerek, yeni bir yerel script ile tekrar paketleyip yayımlamaktadır. Bu süreçte, malware (zararlı yazılım) otomatik olarak aşağıdaki pakete entegre edilmektedir.
Saldırının nihai hedefi, geliştiricilerin makinelerinde yer alan gizli bilgileri incelemek ve bunları saldırganın kontrolündeki bir dış sunucuya iletmektir. Saldırı, hem Windows hem de Linux sistemleri hedef alabilmektedir.
Geliştiricilere Tavsiyeler
Bu saldırının önlenmesi adına, geliştiricilerin sistemlerini düzenli olarak denetlemesi ve etkilenmiş paketleri kullanmaktan kaçınması gerekmektedir. Özellikle npm token’ları ve diğer hassas bilgilerin değiştirilmesi, şu anda önemli bir önlem olarak öne çıkmaktadır. Socket firmasının belirttiğine göre, kötü amaçlı script, geliştiricinin GitHub kişisel erişim token’larını kullanarak, GitHub Actions iş akışı oluşturmakta ve gizli bilgileri elle geçirip dışarıya sızdırmaktadır.
Bu nedenle geliştiricilerin, .github/workflows dizininde kayıtlı olan iş akışlarını kontrol etmesi gerekmektedir. Bir kez taahhüt edilen bu iş akışları, gelecekteki sürekli entegrasyon (CI) süreçlerinde de hassas verilerin dışarıya aktarılmasına neden olabilir.
Rust Platformundaki Phishing Tehditleri
Aynı dönemde, Rust Güvenlik Yanıt Çalışma Grubu, crates.io kullanıcılarını hedef alan bir phishing saldırısı konusunda uyarılarda bulundu. Bu saldırı, kullanıcıların güvenlik bilgilerini çalmayı amaçlayan sahte e-postalar aracılığıyla gerçekleştirilmektedir. rustfoundation.dev alan adından gönderilen bu e-postalar, kullanıcılara bir bağlantıya tıklamaları için uyarılarda bulunarak, şifrelerini değiştirmelerini öneriyor.
Bu bağlantı, kullanıcılara bazı yetkilere erişim sağlayarak, GitHub bilgilerinin ele geçirilmesine yönelik bir girişimdir. Rust ekibi, bu tür saldırılara karşı önlemler alarak, sahte alan adının kapatılması için çalışmalar yapmaktadır.
Sonuç Olarak
Geliştiriciler, yazılımlarında kullandıkları paketlerin güvenliğini sağlamak için sürekli güncelleme ve denetleme yapmalıdır. Siber güvenlik alanındaki bu tür saldırıların artması, dikkatli olmayı ve bilgi güvenliğini sağlamayı zorunlu hale getirmektedir. Bu bağlamda, hem bireysel geliştiriciler hem de şirketler, güvenlik açıklarını minimize etmek için proaktif önlemler almalıdır.
