Yeni Tehdit: Typosquatted NuGet Paketi
Siber güvenlik araştırmacıları, NuGet Galerisi’nde finansal hizmetler firması Stripe’a ait bir kütüphanenin taklit edilerek geliştirilen yeni bir kötü amaçlı paket keşfetti. Bu durum, yazılım tedarik zinciri güvenliği açısından büyük bir tehlike arz ediyor.
Paketin Özellikleri
Keşfedilen kötü amaçlı paket, CVE-2026-XXXXX koduyla biliniyor ve StripeApi.Net ismiyle anılıyor. Bu paket, gerçek Stripe.net kütüphanesini taklit ederek, 16 Şubat 2026 tarihinde “StripePayments” adlı bir kullanıcı tarafından yüklendi. Ancak, paket artık mevcut değil.
ReversingLabs’tan Petar Kirhmajer, “Kötü amaçlı paketin NuGet sayfası, resmi Stripe.net paketine olabildiğince benzer bir şekilde hazırlanmış” dedi. Stripe.net referansları, ‘Stripe-net’ olarak değiştirilmiş ve aynı simge kullanılmıştır.
İndirme Sayıları ve Sürüm Dağılımı
Tehdit aktörü, paketin güvenilirliğini artırmak amacıyla indirme sayısını 180,000’in üzerine çıkardı. Ancak ilginç bir detay olarak, bu indirmeler 506 farklı versiyona yayılmış ve her versiyon ortalama 300 indirme almıştır.
- Toplam İndirme Sayısı: 180,000+
- Versiyon Sayısı: 506
- Ortalama İndirme (her versiyon): 300
Fonksiyonlar ve Veri Güvenliği
Bu paket, gerçek Stripe paketinin bazı işlevlerini kopyalarken, kritik yöntemleri değiştirerek hassas verileri, özellikle kullanıcının Stripe API token’ını tehdit aktörüne aktarmaktadır. Kodların geri kalanının tamamen işlevsel olması nedeniyle, yanlışlıkla indirilen bu paketler, fark edilmeden kullanılmaya devam edilebilir.
ReversingLabs, paketi “nispeten kısa bir süre içinde” keşfettiğini ve raporladığını belirtti. Böylece, ciddi zarar vermeden paket kaldırıldı.
Değişen Tehdit Eğilimleri
Bu olay, yazılım tedarik zinciri güvenliği açısından önceki kampanyalarda yaratılan sahte NuGet paketlerinin, kripto para ekosistemini hedef alarak cüzdan anahtarlarını çalmak için kullanıldığına işaret eden bir değişimi göstermektedir.
Kirhmajer, “Yanlışlıkla bir typosquatted kütüphane gibi StripeApi.net‘i indirip entegre eden geliştiriciler, uygulamalarının başarıyla derlendiğini ve istendiği gibi çalıştığını düşüneceklerdir,” dedi. “Ödemeler normal şekilde işlenecek ve geliştiricinin gözünde hiçbir şey bozuk görünmeyecek. Ancak arka planda, hassas veriler kötü niyetli aktörler tarafından gizlice kopyalanıyor.”
Çözüm ve Korunma
Geliştiricilerin bu tip tehlikelere karşı alabilecekleri bazı önlemler:
- Hedef paketlerin doğruluğunu kontrol etmek için resmi kaynakları kullanın.
- İndirdiğiniz paketlerin, kullanılan API anahtarlarının ve hassas verilerin güvenliğinden emin olun.
- Paket güncellemelerini takip edin ve doğrulama işlemlerini gerçekleştirin.
Sonuç
Geliştiricilerin, NuGet gibi paket yöneticilerinden indirdikleri kütüphaneleri dikkatle incelemeleri ve kesinlikle güncellemeleri gerektiği unutulmamalıdır. Ayrıca, port kapatma ve güvenlik duvarı ayarları gibi önlemlerle ağ güvenliğini arttırmak da kritik öneme sahiptir. Tehlikeleri minimize etmek, yazılım geliştirme süreçlerinde büyük bir öncelik olmalıdır.
