Giriş
Kuzey Kore destekli Lazarus Grubu tarafından yürütülen sahte istihdam temalı kampanya kapsamında, npm ve Python Paket Endeksi (PyPI) üzerinde yeni bir dizi kötü amaçlı paket keşfedildi. Bu saldırıların, geliştiricilerin güvenliğini tehdit eden ciddi bir siber güvenlik sorunu teşkil ettiği vurgulanıyor.
Saldırı Nasıl Çalışıyor?
Bu kampanyanın kod adı graphalgo olarak belirlenmiş olup, Mart 2025’ten beri aktif olduğu tahmin ediliyor. Saldırı, LinkedIn ve Facebook gibi sosyal platformlar üzerinden geliştiricilere ulaşarak, Reddit gibi forumlarda iş teklifleri yoluyla gerçekleştiriliyor. ReversingLabs araştırmacısı Karlo Zanki, “Kampanya, blockchain ve kripto para borsa işlemleriyle ilgili bir şirket etrafında kurgulanmış iyi planlanmış bir hikâyeyi içeriyor,” dedi.
Özellikle, tespit edilen npm paketlerinden biri olan bigmathutils, ilk kötü amaç içermeyen sürümünün yayımlanmasından sonra 10,000’den fazla indirme aldı. Ancak, kötü amaçlı yükleme içeren ikinci sürüm yayımlandıktan sonra bu paketler problemler yaratmaya başladı. Aşağıda belirtilen paket isimleri bulunmaktadır:
npm –
- graphalgo
- graphorithm
- graphstruct
- graphlibcore
- netstruct
- graphnetworkx
- terminalcolor256
- graphkitx
- graphchain
- graphflux
- graphorbit
- graphnet
- graphhub
- terminal-kleur
- graphrix
- bignumx
- bignumberx
- bignumex
- bigmathex
- bigmathlib
- bigmathutils
- graphlink
- bigmathix
- graphflowx
PyPI –
- graphalgo
- graphex
- graphlibx
- graphdict
- graphflux
- graphnode
- graphsync
- bigpyx
- bignum
- bigmathex
- bigmathix
- bigmathutils
Sahte şirketler oluşturarak yapılan bu saldırılarda, ilk önce Veltrix Capital gibi boş bir isim oluşturuluyor ve ardından operasyonu geçerli göstermek için dijital varlıklar yaratılıyor. Araştırmalar, bu tür repertuarların doğrudan kötü amaçlı işlevsellik içermediğini; bunun yerine kötü amaçlı yüklemelerin npm ve PyPI üzerindeki bağımlılıklar aracılığıyla kullanıcıların sistemlerine sızdığını gösteriyor.
Etkilenen Sistemler
Kampanya sonucunda, kurbanları etkileyen kötü amaçlı paketler, bir Remote Access Trojan (RAT) olarak işlev görmektedir. Bu kötü amaçlı yazılım, dış bir sunucudan konut komutlarını periyodik olarak alır ve yürütür. Toplayabildiği sistem bilgileri arasında, dosyalar ve dizinler, çalışan işlemler ve dosya yapıları bulunur. Bunun yanı sıra, sistem bilgilerini toplamak ve takip etmek için bir token mekanizması kullanarak iletişim sağlamaktadır.
Bu kötü amaçlı yazılım, kullanıcının bilgisayarında MetaMask uzantısının kurulu olup olmadığını kontrol ederek ekstra finansal bilgileri çalmak için girişimlerde bulunur. ReversingLabs bu kampanyayı “yüksek derecede sofistike” olarak nitelendiriyor.
Çözüm ve Korunma
Kullanıcıların bu tür tehditlere karşı korunmak için aşağıdaki adımları izlemeleri önerilir:
- Güncellemeleri düzenli olarak yapın.
- Bilinmeyen kaynaklardan paket yüklememekte dikkatli olun.
- Düzenli olarak güvenlik taramaları gerçekleştirin.
- Sosyal mühendislik saldırılarına karşı dikkatli olun, özellikle iş teklifleri konusunda.
- Portların güvenliğini artırarak kapatılması gereken portları yönetin.
Sonuç olarak, kullanıcıların dikkatli olmaları ve güncel güvenlik çözümleri kullanmaları hayati önem taşımaktadır. Bilgisayar güvenlik uzmanları, etkin koruma stratejileri geliştirmeli ve geliştirme süreçlerinde güvenlik en iyi uygulamalarını uygulamalıdır.
