npm Registry’s Spam Attack: 46,000 Fake Packages
2024’ün başlarından itibaren, siber güvenlik araştırmacıları, npm (Node Package Manager) kayıt defterini hedef alan büyük ölçekli bir spam kampanyasına dikkat çekiyor. Bu kampanya, finansal kazanç amacı güden bir çaba olarak nitelendiriliyor ve yaklaşık 46,484 sahte paket içermektedir.
Sistematik Yayılım ve Raporlar
Endor Labs’ın araştırmacıları Cris Staicu ve Kiran Raj, “Bu paketler, sistematik bir şekilde yayımlanmış ve ekosistemde yaklaşık iki yıl boyunca kalmış” ifadelerini kullanıyor. İlk olarak SourceCodeRED güvenlik araştırmacısı Paul McCarty tarafından tespit edilen bu kampanya, sahte paketlerin Next.js projeleri gibi görünerek kullanıcıları yanıltmayı hedefliyor.
Worm Benzeri Yayılma Mekanizması
Bu kampanyanın adının “IndonesianFoods” olmasının nedeni, yaratılan paketlerin isimlendirme şemasının Endonezya isimleri ve yemek terimleri kullanarak oluşturulması. Araştırmalar, saldırganların bir NPM worm’u (solucan) geliştirmek için uzun bir süre çalıştığını ve bu sürecin iki yılı aşkın bir zaman diliminde gerçekleştiğini gösteriyor.
Paketlerin Yapılandırması ve Yürütülmesi
Her bir pakette bulunan JavaScript dosyası, kullanıcı komutuyla çalışmaya başladığında harekete geçiyor. Örneğin “node auto.js” komutunu kullanarak çalıştırıldığında, bir dizi işlemi başlatıyor. Bu, “package.json” dosyasındaki “private”: true> ayarını kaldırarak başlıyor ve ardından tüm bağımlılık ağını düzenli olarak yayımlamak için yeni bir paket adı oluşturuyor.
Spam Paketlerin Riskleri
Bu durum, NPM kayıt defterini gereksiz paketlerle doldurmakta ve arama sonuçlarını kirletmekte. Geliştiricilerin bu tehlikeli paketleri yanlışlıkla yüklemeleri ise tedarik zinciri risklerini artırıyor. Endor Labs uzmanı Henrik Plate, 43,000’den fazla paket olmasının kullanıcıların dikkatsizlik veya merak nedeniyle komutları çalıştırdığını gösterdiğini belirtiyor.
Sonuç ve Önlemler
GitHub, zararlı paketleri belirleyip kaldırdığını ve platformun kötüye kullanımını önlemek için sürekli analizler yaptığını açıklamaktadır. Bu saldırı, npm gibi büyük yazılım tedarik sistemlerinin ne kadar kolayca tehlikeye atılabileceğini gözler önüne seriyor ve gelecekte daha dikkatli bir güvenlik değerlendirmesi gerektirdiğini vurguluyor.
Özetle, npm kayıt defterindeki bu spam saldırısı büyük bir sorun teşkil ediyor. Geliştiricilerin ve platformların alınması gereken önlemler doğrultusunda hareket etmesi kaçınılmaz hale gelmiştir.
