Cryptocurrency Cüzdanlarını Tehdit Eden Yeni Kötü Amaçlı npm Paketleri
Siber güvenlik araştırmacıları, gizli cryptocurrency cüzdanlarını ve hassas verileri çalmak amacıyla tasarlanmış yeni bir kötü amaçlı npm paketi grubunu ortaya çıkardı. Bu tehdit, ReversingLabs tarafından Ghost kampanyası olarak takip edilmektedir.
Etkilenen Paketler
Aşağıda, kullanıcısı “mikilanjillo” olan kötü amaçlı npm paketlerinin listesi yer almaktadır:
- react-performance-suite
- react-state-optimizer-core
- react-fast-utils
- ai-fast-auto-trader
- pkgnewfefame1
- carbon-mac-copy-cloner
- coinbase-desktop-sdk
Saldırı Nasıl Çalışıyor?
Bu paketler, sudo şifresi talep ederek saldırının son aşamasının gerçekleştirilmesine zemin hazırlıyor. ReversingLabs’tan yazılım tehdit araştırmacısı Lucija Valentić, bu paketlerin gerçek işlevlerini saklamak için sofistike yöntemler kullandığını belirtiyor; sahte npm kurulum günlükleri göstererek kullanıcıları yanıltıyor.
Tanımlanan Node.js kütüphaneleri, ek paketleri yanlış bir şekilde indirdiklerini iddia ederken, kurulum sürecinde rasgele gecikmeler ekliyor. Kullanıcı, kurulum sırasında “/usr/local/lib/node_modules” dizininde yazma izinlerinin eksik olduğuna dair bir hata mesajı ile karşılaşıyor. Bu noktada, kullanıcıdan root veya yönetici şifresini girmesi isteniyor; şifre girildiğinde, kötü amaçlı yazılım bir sonraki aşama indiricisidir ve Telegram kanalına ulaşarak son yük ve şifreyi almak için iletişim kurar.
Sonuç olarak, uzaktan erişim trojanı dağıtılarak veri toplama gerçekleştirilmekte, cryptocurrency cüzdanları hedef alınmakta ve dış bir sunucudan daha fazla talimat beklenmektedir.
Etkilenen Sistemler
ReversingLabs, bu aktivitenin önceki bir ay içinde JFrog tarafından belgelenen GhostClaw adlı bir aktivite kümesi ile örtüşme gösterdiğini bildirdi. Ancak, bunun aynı tehdit aktörünün işi olup olmadığı henüz bilinmiyor.
Çözüm ve Korunma
Son araştırmalar, GhostClaw kampanyasının GitHub depolarını ve AI destekli geliştirme iş akışlarını kullanarak kötü amaçlı yazılımları dağıttığını gösteriyor. Araştırmacılar, bu depoların meşru araçları taklit ettiğini ve ilk başta zararsız gibi göründüğünü belirtiyor. Mevcut tehlikelerin farkında olmak ve önlem almak için aşağıdaki adımları izlemek önemlidir:
- npm paketlerini güncel tutun ve yalnızca güvenilir kaynaklardan yükleyin.
- Geliştirme ortamlarınızda şifre yönetimi uygulamalarını kullanın.
- Şifrelerinizi ve önemli bilgilerinizi doğrudan kötü amaçlı paketlere vermekten kaçının.
- Şüpheli paketleri yüklememeye dikkat edin ve her zaman kullanıcı yorumlarını kontrol edin.
Siber güvenlik önlemleri alınmalı; sistemler ve kullanıcı verileri hala güvenlik tehditleri ile karşı karşıya. Bu nedenle, güncellemelerinizi düzenli yapın ve sistemde gereksiz bağlantıları kapatın.
Sonuç
Okuyucuların, npm paketlerini yüklerken daha dikkatli olmaları, şüpheli paketleri kullanmaktan kaçınmaları ve mevcut güvenlik önlemlerini güçlendirmeleri gerekmektedir. Ayrıca, sistem güncellemelerini düzenli olarak kontrol edin ve portları kapatarak riskleri azaltın.
