Giriş
Son dönemde geliştiricilere yönelik düzenlenen saldırılar, kötü niyetli depoları, hakiki Next.js projeleri gibi göstererek kurbanları kandırmaya çalışıyor. Bu saldırıların önemi, yazılımcıların kritik verilerini hedef alması ve siber güvenlik risklerini artırmasıdır.
Saldırı Nasıl Çalışıyor?
Microsoft’un raporuna göre, bu kampanya birçok giriş noktası kullanarak kurbanın bilgisayarına kalıcı erişim sağlamayı hedefliyor. Saldırganlar, güvenilir geliştirici platformları olan Bitbucket üzerinde sahte depolar kurarak, iş arayan yazılımcıları kandırmaktadır. Tespit edilen depolar üzerinde üç farklı yürütme yolu belirlenmiştir:
- Visual Studio Code çalışma alanı yürütmesi: Microsoft Visual Studio Code (VS Code) projeleri, geliştirici projeyi açar açmaz kötü amaçlı kodu çalıştıracak şekilde yapılandırılmıştır. Burada,
runOn: "folderOpen"parametreleri kullanılarak görev tanımlaması yapılır. - Uygulama geliştirme sırasında yapı aşaması yürütmesi: Geliştirme sunucusunu manuel olarak npm run dev komutuyla çalıştırmak, kötü niyetli kodun tetiklenmesini sağlar. Bu kod, değiştirilen JavaScript kütüphaneleri içinde gizlenmiştir ve jquery.min.js adı altında dağıtılır.
- Sunucu başlangıç yürütmesi: Uygulamanın arka ucu başlatılınca, kötü niyetli yükleyici altındaki gizli kod çalıştırılır. Bu, süreç ortamını dışarıya iletir ve sunucudan alınan JavaScript kodunu bellek içinde çalıştırır.
Etkilenen Sistemler
Saldırılar, çeşitli Node.js uygulamalarını hedef almaktadır. Microsoft, bu üç yöntemin de aynı JavaScript yüküne ulaşarak, ev sahibinin profilini çıkardığını ve kayıtlı bir endpoint’e sorgu gönderdiğini belirtmiştir. Bu süreç, hedefin sürekli olarak kontrol edilmesine olanak tanır.
Çözüm ve Korunma
Saldırının etkilerinden korunmak için organizasyonların aşağıdaki önlemleri alması önerilmektedir:
- Geliştirici iş akışlarında güvenilirlik sınırlarını güçlendirin.
- Güçlü kimlik doğrulama ve koşullu erişim uygulayın.
- Kredensiyel hijyenine dikkat edin ve en az ayrıcalık ilkesini uygulayın.
- Mümkünse, yapım altyapısını ayırın.
Ayrıca, gereken güncellemeleri yaparak portları kapatmak da kritik bir adım olacaktır.
Sonuç olarak, yazılımcılar ve organizasyonlar, siber güvenliklerini güçlendirmek için bu saldırılara karşı dikkatli olmalı ve proaktif önlemler almalıdırlar.
