Geçtiğimiz pazartesi günü Kuzey Koreli bir siber saldırı, webde en yaygın kullanılan açık kaynak projelerinden birini kısa süreliğine ele geçirerek, kodun en üst düzey geliştiricilerini hedef alan uzun süreli bir kampanyanın parçası olarak haftalarca sürdü.
31 Mart’ta Axios projesinin ele geçirilmesi, kısmen, iyi kaynaklara sahip korsanların hedeflediği kişilere uzun bir zaman zarfında güven inşa edip rapor oluşturmasından kaynaklandı. Bu tür bir saldırı, popüler açık kaynak projelerini geliştirenlerin karşılaştığı güvenlik zorluklarını gözler önüne seriyor. Devlet destekli korsanlar ve siber suçlular, dünya genelinde milyonlarca cihaza erişim sağlayabilen yaygın kullanılan projeleri hedef alıyor.
Popüler Axios projesinin bakımını üstlenen Jason Saayman, saldırının zaman çizelgesiyle ilgili bir rapor paylaştı. Hackerların, nihayetinde bilgisayarına erişimleri olmadan yaklaşık iki hafta önce hedefleme kampanyasına başladığını belirtti.
Gerçek bir şirket gibi davranarak, gerçekçi görünen bir Slack iş alanı oluşturarak ve sahte çalışan profilleri kullanarak güvenilirlik oluşturan Saayman, şöyle dedi: Şüpheli Kuzey Koreli hackerlar, onu bir çevrimiçi toplantıya davet etti ve bu toplantıya katılmak için gerekli bir güncelleme olarak görünen kötü amaçlı yazılımı indirmesini teşvik etti. Saayman, bu tuzağın Kuzey Koreli hackerların, kurbanları sistemlerine uzaktan erişim vermeye ikna ettikleri bir teknikle benzerlik gösterdiğini belirtti; bu genellikle onların kripto para birimlerini çalmalarına olanak tanıyor.
Saayman’a göre bu saldırı, güvenlik araştırmacıları tarafından Kuzey Kore’ye atfedilen daha önceki saldırıları taklit etti.
Saayman’ın bilgisayarına uzaktan erişim sağlandıktan sonra, hackerlar Axios projesine kötü amaçlı güncellemeleri yayınladı.
31 Mart’ta ilk kez yayımlanan iki kötü amaçlı Axios paketi, yaklaşık üç saat sonra kaldırılmasına rağmen, bu süre zarfında binlerce sistemi potansiyel olarak enfekte edebilir. O süre zarfında kötü bir yazılımın yüklenmesi, hackerların o bilgisayardan özel anahtarları, kimlik bilgilerini ve şifreleri çalmasına olanak sağlamış olabilir ki bu da daha fazla ihlallere yol açabilir.
Saayman, olayla ilgili sorulara yanıt vermedi.
Kuzey Koreli hackerlar, bugün internetteki en aktif siber tehditlerden biri olarak kabul ediliyor ve yalnızca 2025 yılında en az 2 milyar dolar değerinde kripto para çalmakla suçlanıyorlar.
Kim Jong Un rejimi, nükleer silah geliştirme programına yönelik yasakları ihlal ettiği için uluslararası yaptırımlara tabi tutulmakta ve küresel finans ağına erişimi yasaklanmıştır. Ülke, siber saldırılar düzenleyerek ve kripto para çalarak büyük oranda finanse edilmektedir.
Kuzey Kore’nin binlerce iyi organize olmuş hacker bulundurduğu düşünülüyor, çoğunluğunun Kim rejimi altında zorla çalışma koşullarında faaliyet gösterdiği ifade ediliyor. Bu hackerlar, güven kazanmak ve sonunda erişim sağlamak amacıyla karmaşık sosyal mühendislik saldırıları gerçekleştiriyor ve kurbanlarından kripto para ve veri çalmaya yönelik çalışmalara yöneliyorlar.
