Giriş
Yeni bir siber saldırı dalgası, ‘PhantomRaven’ adıyla anılan tedarik zinciri kampanyası, JavaScript geliştiricilerinden hassas verileri çalan kötü niyetli paketlerle npm kayıt defterini hedef alıyor. Bu saldırıların önemi, geliştiricilerin güvenliğini tehdit etmesinin yanı sıra, büyük çapta veri sızıntılarına neden olabilecek olası etkilerindedir.
Saldırı Nasıl Çalışıyor?
PhantomRaven, Remote Dynamic Dependencies (RDD) adı verilen bir teknikle çalışmaktadır; burada, ‘package.json’ metadata dosyası, dış bir URL’deki bir bağımlılığı belirtir. Bu yöntem, saldırganın kötü niyetli kodu paketin içine gömmesine gerek kalmadan, automatize edilmiş denetimlerden kaçınmasını sağlar. Bir geliştirici ‘npm install’ komutunu çalıştırdığında, kötü amaçlı yazılım içeren bağımlılık otomatik olarak saldırganın sunucusundan indirilir ve çalıştırılır.
Etkilenen Sistemler
Endor Labs tarafından yapılan araştırmalara göre, PhantomRaven kampanyasında 126 adet kötü niyetli paket yayımlandı ve bu saldırılar üç ana dalga halinde gerçekleşti. Şu anda, 81 tanesi npm kayıt defterinde mevcut durumda. Bu paketlerin çoğu, Babel ve GraphQL Codegen gibi tanınmış projeleri taklit eden isimler altında yayımlanmıştır.
Veri Hedefleri ve Sızdırma Yöntemleri
Kötü niyetli yazılım, ele geçirilmiş makinelerden çeşitli hassas verileri toplamaktadır. Bunlar arasında:
- Git yapılandırma dosyalarından ve çevresel değişkenlerden e-posta adresleri
- GitHub, GitLab, Jenkins ve CircleCI platformlarından CI/CD tokenleri
- Sistem bilgileri; IP adresi, ana bilgisayar adı, işletim sistemi ve Node versiyonu
Toplanan veriler, genellikle HTTP GET isteği ile saldırganın komut ve kontrol (C2) sunucusuna aktarılır.
Çözüm ve Korunma
Geliştiricilerin bu tehditlere karşı alması gereken önlemler şunlardır:
- Geliştirme araçlarınızın meşruiyetini doğrulayın.
- Yalnızca güvenilir yayıncılardan paket kullanın.
- AI chatbotlarından ya da doğrulanmamış kaynaklardan gelen önerileri kopyalayıp yapmaktan kaçının.
Sonuç
PhantomRaven kampanyası devam etmektedir. Geliştiriciler, npm kayıt defterindeki paketleri dikkatlice incelemeli, güncelleme yapmalı ve gerekirse potansiyel tehditlere karşı port kapama işlemlerini gerçekleştirmelidir. Verilerinizi korumak için gereken önlemleri almak hayati önem taşımaktadır.
