Giriş
Kuzey Kore ile bağlantılı olarak yürütülen kalıcı bir kampanya olan Contagious Interview, Go, Rust ve PHP ekosistemlerini hedef alan kötü niyetli paketleri yayımlayarak etkisini genişletmiştir. Bu durum, siber güvenlik alanında ciddi bir tehdit oluşturmakta ve geliştiricilerin dikkatini çekmektedir.
Saldırı Nasıl Çalışıyor?
Saldırganların paketleri, meşru geliştirici araçlarını taklit etmek üzere tasarlanmış ve gizlice kötü niyetli yazılımlar yükleyici olarak işlev görmektedir. Socket güvenlik araştırmacısı Kirill Boychenko’ya göre, bu durum, Contagious Interview’nin belirlenen oyun planını koordine edilmiş bir çapraz ekosistem tedarik zinciri operasyonuna genişletmektedir.
Etkilenen Sistemler
Tespit edilen kötü niyetli paketlerin tam listesi şunlardır:
- npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
- PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
- Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
- Rust: logtrace
- Packagist: golangorg/logkit
Bu yükleyiciler, platforma özgü ikinci aşama yükleri almak üzere tasarlanmış olup, bu yükler, bilgi çalma ve uzaktan erişim trojanı (RAT) yeteneklerine sahip bir kötü niyetli yazılım olarak ortaya çıkmaktadır. Temelde, web tarayıcıları, şifre yöneticileri ve kripto para cüzdanlarından veri toplamak üzerine odaklanmıştır.
Çözüm ve Korunma
Windows versiyonundaki kötü niyetli yazılım, “license-utils-kit” aracılığıyla sunulmakta ve Socket tarafından “tam bir sonrası-kompromi implantı” olarak tanımlanmaktadır. Bu implant; shell komutları çalıştırma, tuş kaydetme, tarayıcı verilerini çalma, dosya yükleme, web tarayıcılarını sonlandırma ve uzaktan erişim sağlamak için AnyDesk’i dağıtma gibi işlevselliğe sahiptir.
Sonuç olarak, bu kampanyanın tüm ayrıntılı işlevselliği ve çapraz ekosistem etkisi, siber güvenlik uzmanlarının dikkatini çekmektedir. Geliştiriciler, paket yüklemeden sonra devreye giren kötü niyetli kodun meşru işlevlerle gizlendiğini bilmelidir. Örneğin, “logtrace” durumunda, kod “Logger::trace(i32)” yöntemi içinde gizlenmiştir.
Sonuç olarak, Kuzey Koreli siber tehdit aktörlerinin yazılım tedarik zincirine yönelik bu tür saldırıları, yazılım güvenliği açısından ciddi bir risk teşkil etmektedir. Socket, bu faaliyetler ile bağlantılı olarak Ocak 2025’ten bu yana 1,700’den fazla kötü niyetli paket tespit ettiğini bildirmiştir.
Kuzey Koreli hacker gruplarının gerçekleştirdiği daha geniş bir yazılım tedarik zinciri ihlali kampanyasının parçası olarak, güvenlik uzmanları, bu tür tehditlerden korunmak için aşağıdaki önlemleri almalıdır:
- Paket bağımlılıklarını güncel tutun.
- Geliştirici ortamlarınızı güvenlik duvarı ile koruyun.
- Meşru görünen ancak kaynağı belirsiz paketleri yüklemekten kaçının.
- Uzaktan erişim avantajlarından yararlanabileceğini düşünerek güvenlik yazılımlarınızı güncel tutun.
Tüm bu önlemler, kullanıcıların bu tür siber saldırılara karşı daha iyi korunmasını sağlayacaktır.
