Kötü Amaçlı npm Paketi: “@acitons/artifact”
Son zamanlarda siber güvenlik araştırmacıları, GitHub’a ait depoları hedef alan kötü amaçlı bir npm paketi keşfetti. “@acitons/artifact” ismiyle yayımlanan bu paket, meşru “@actions/artifact” paketini taklit ediyor. Veracode’a göre, bu kötü amaçlı paketin amacı, bir GitHub deposunun inşasında çalıştırılmak ve mevcut token’ları çalarak kötü amaçlı ve sahte verileri yayımlamak.
Paket Hakkında Bilgi
Bu paket 29 Ekim 2025’te ilk kez yüklendi ve yalnızca birkaç gün içinde 31,398 haftalık indirme sayılarına ulaştı. Toplamda ise 47,405 kez indirildiği tespit edildi. Söz konusu paket, altı farklı versiyon (4.0.12’den 4.0.17’ye kadar) ile piyasaya sürüldü ve bu versiyonlar, bir post-install hook kullanarak malware indirecek şekilde yapılandırıldı. Ancak, günümüzde npm’de mevcut olan en son versiyon 4.0.10’dur.
Neden Bu Kötü Amaçlı Paket Tehdit Oluşturuyor?
Veracode’un analizine göre, bu paketin amacı, inşaat sürecinde çalışma ve GitHub ortamındaki token’ları çalarak yeni kötü amaçlı içerikleri yayımlamaktır. Böylece, hackerlar GitHub’ın güvenilirliğinden faydalanarak sistemlerini etkisiz hale getirmek isteyebilir.
Sözleşmeli Kodun İncelenmesi
Kötü amaçlı paketlerin birçoğu gibi, “@acitons/artifact” bir postinstall script içeriyor. Bu script, “harness” adlı bir binary dosyasını bir GitHub hesabından indiriyor. Bu dosya, itibarsız bir shell script olarak çalışmakta olup, belirli bir tarih sonrasında çalışmasını önleyen kontroller içeriyor.
GITHUB Değişkenleri ve Veri Çalma
Bu kötü amaçlı yazılım, “verify.js” adında bir JavaScript dosyası çalıştırarak, GitHub Actions iş akışları çerçevesinde tanımlı olan belirli GITHUB_ değişkenlerini kontrol ediyor. Bu değişkenler toplandıktan sonra, şifrelenmiş formatta “app.github[.]dev” alt alan adında bir metin dosyasına alınıyor.
Hedeflerin Belirlenmesi
Veracode, bu kötü amaçlı yazılımın yalnızca GitHub’a ait depoları hedef aldığını vurguluyor. Ayrıca, y8793hfiuashfjksdhfjsk adlı bir kullanıcı hesabının da bu kampanyada hedef alındığı, ancak bu hesabın kamuya açık hiçbir faaliyeti bulunmadığı gözlemlenmiştir. Bu kendine has durum, test amaçlı bir kullanıcı hesabı olabilir.
Sonuç ve Öneriler
Geliştiricilerin ve şirketlerin npm paketlerinin güvenliğini sağlamak için daha dikkatli olmaları gerekiyor. Özellikle, paket indirmeden önce paketlerin orijinal sürümlerine ve geliştiricilerine dikkat edilmesi gerekmektedir. Kötü niyetli yazılımların yazdırılmasını önlemek için sürekli güncellemeler ve güvenlik taramaları yapılması elzemdir. Bu tür saldırılara karşı farkındalık yaratmak, hem bireysel hem de kurumsal düzeyde kritiktir.
Gelecekte benzer saldırılarla karşılaşmamak adına, tedarik zincirlerinin daha güçlü güvenlik protokolleriyle desteklenmesi gerektiği açıktır.
