Giriş
Son günlerde popüler HTTP istemcisi Axios, siber güvenlik tehditleri arasında dikkat çeken bir supply chain attack (tedarik zinciri saldırısı) ile karşı karşıya kalmıştır. Bu durum, yazılımcı topluluğu ve kullanıcılar için son derece önemli bir güvenlik ihlali teşkil etmektedir.
Saldırı Nasıl Çalışıyor?
Axios’un 1.14.1 ve 0.30.4 versiyonları, plain-crypto-js 4.2.1’i sahte bir bağımlılık olarak yükleyen kötü niyetli bir güncelleme içeriyor. Saldırganlar, Axios’un ana bakımcısının npm kimlik bilgilerini ele geçirerek, GitHub Actions CI/CD pipeline’ını atlatmışlardır. Saldırının arkasındaki kötü niyetli yazılım, bir postinstall betiği çalıştırarak platformlar arası bir uzaktan erişim trojanı (RAT) saldırtmaktadır.
Etkilenen Sistemler
Bu saldırı sonucunda etkilenen sistemler arasında şunlar bulunmaktadır:
- macOS
- Windows
- Linux
Saldırının detayları şöyle sıralanabilir:
- macOS için AppleScript kullanılarak bir trojan yüklüyor.
- Windows’da PowerShell kullanarak kötü niyetli bir script çalıştırıyor.
- Linux üzerinde Python tabanlı bir RAT script’i indiriyor.
Çözüm ve Korunma
Etkilenen kullanıcıların öncelikle aşağıdaki adımları takip etmesi gerekmektedir:
- Axios versiyonu 1.14.1 veya 0.30.4 olan kullanıcılar için derhal sözleşmeleri ve kimlik bilgilerini değiştirme.
- Güvenli bir sürüme, yani 1.14.0 veya 0.30.3‘e geçiş yapma.
- Node_modules dizininden plain-crypto-js‘u kaldırma.
- Herhangi bir RAT kalıntısı tespit edilirse, sistemdeki tüm kimlik bilgilerini döndürme.
- CI/CD pipeline’larını etkilenen sürümleri yükleyen işlemler için denetleme.
- Komut ve kontrol sunucusuna (sfrclak.com) giden trafiği engelleme.
Sonuç olarak, kullanıcıların bu tür saldırılara karşı dikkatli olmaları ve yazılımlarını sürekli güncel tutmaları önemlidir. Unutmayın ki, güvenlik önlemleri almak, bu tür tehditlere karşı en etkili savunmadır.
