Giriş
Son zamanlarda, kötü niyetli aktörler tarafından geliştirilmiş bir tedarik zinciri solucanı, geliştirici npm token’ları aracılığıyla yayılarak birçok paketi tehdit etmeye başladı. Bu durum, siber güvenlik açısından büyük bir endişe kaynağı oluşturmakta ve geliştiricilerin dikkatli olmalarını gerektirmektedir.
Saldırı Nasıl Çalışıyor?
Kötü amaçlı yazılım, kurulum sırasında çalışan bir postinstall kancası aracılığıyla geliştirici ortamlardan kimlik bilgilerini çalmaktadır. Bu ç stolen npm token’larını kullanarak zararlı versiyonların paket kayıt defterine yüklenmesini sağlamakta ve saldırının kapsamını genişletmektedir. Affected packages include:
- @automagik/genie (4.260421.33 – 4.260421.40)
- @fairwords/loopback-connector-es (1.4.3 – 1.4.4)
- @fairwords/websocket (1.0.38 – 1.0.39)
- @openwebconcept/design-tokens (1.0.1 – 1.0.3)
- @openwebconcept/theme-owc (1.0.1 – 1.0.3)
- pgserve (1.1.11 – 1.1.14)
Etkilenen Sistemler
Çalınan bilgiler arasında:
- .npmrc
- SSH anahtarları ve SSH yapılandırmaları
- .git-credentials
- .netrc
- AWS, Google Cloud ve Microsoft Azure’a ait bulut kimlik bilgileri
- Kubernetes ve Docker yapılandırmaları
- Terraform, Pulumi ve Vault materyalleri
- Veritabanı şifre dosyaları
- Yerel .env* dosyaları
- Shell geçmişi dosyaları
Ayrıca, Chromium tabanlı web tarayıcılarından ve kripto para cüzdan uzantı uygulamalarından da kimlik bilgilerine erişmeyi denemektedir.
Çözüm ve Korunma
Geliştiricilerin aşağıdaki adımları atması şiddetle önerilmektedir:
- Etkin paketlerin en son sürümlerine güncelleme yapın.
- Geliştirme ortamlarınızda zararlı kancalara dikkat edin.
- Güçlü ve benzersiz kimlik bilgileri kullanın.
- Token’larınızı düzenli olarak değiştirin.
- Güvenlik duvarları ve izleme sistemleri ile APT’lere karşı önlem alın.
Son olarak, güncellemelere ve güvenlik protokollerine dikkat edilmesi, bu tür tehditlere karşı korunmanın en etkili yoludur. Geliştirici ortamınızı korumak için gerekli önlemleri hemen alın.
