Giriş
Son günlerde, “Packagist” kütüphanesinde sekiz farklı paketi etkileyen koordineli bir tedarik zinciri saldırısı gerçekleşti. Bu saldırı, geliştiricilerin dikkatini dağıtmak için JavaScript projelerinde kullanılan bir postinstall betiği aracılığıyla kötü amaçlı kodları içeriyor.
Saldırı Nasıl Çalışıyor?
Saldırı, etkilenen paketlerin üst akış depolarında postinstall betiklerinin eklenmesi yoluyla gerçekleştirilmektedir. Bu betikler, bir Linux ikili dosyasını GitHub Releases adresinden indirmeyi dener ve ardından `/tmp/.sshd` klasörüne kaydeder. Elde edilen dosyanın izinleri, tüm kullanıcıların çalıştırabilmesi için “chmod” komutu ile değiştirilir ve arka planda çalıştırılır.
Etkilenen Sistemler
Aşağıda, saldırıdan etkilenen paketler ve ilgili versiyonları listelenmiştir:
- moritz-sauer-13/silverstripe-cms-theme (dev-master)
- crosiersource/crosierlib-base (dev-master)
- devdojo/wave (dev-main)
- devdojo/genesis (dev-main)
- katanaui/katana (dev-main)
- elitedevsquad/sidecar-laravel (3.x-dev)
- r2luna/brain (dev-main)
- baskarcm/tzi-chat-ui (dev-main)
Analiz ve Potansiyel Tehditler
Socket tarafından yapılan analiz, bu kötü amaçlı yükün GitHub üzerinde toplam 777 dosyada referanslara sahip olduğunu ortaya koymuştur. Bu durum, saldırının daha kapsamlı bir kampanyanın parçası olabileceğini göstermektedir. Ayrıca, iki ayrı GitHub çalışma sürecine eklendiği gözlemlenmiştir. Saldırgan, çeşitli yürütme mekanizmalarına dayanmıştır; bu, paketlerin postinstall betikleri aracılığıyla tetiklendiğini gösteriyor.
Çözüm ve Korunma
Saldırıdan etkilenen paketlerin badireyi atlattığı bildirildi ancak yine de koruma almak için şu adımları izlemeniz önerilir:
- Tüm etkilenen paketleri güncelleyin.
- Kötü amaçlı betiklerin göz ardı edilmesi için paket.json dosyalarını inceleyin.
- Gereksiz portları kapatın ve sistem güvenliğinizi artırmak için TLS doğrulamasını aktif hale getirin.
Sonuç
Geliştiricilerin ve güvenlik ekiplerinin, kullanılan paketlerin güvenliğini sürekli izlemeleri gerekmektedir. En kısa sürede, söz konusu paketlerin güncellemelerinin yapılması ve ilgili portların kapatılması, potansiyel tehditlere karşı en etkili önlem olacaktır. Unutmayın, projenizi korumak için her zaman en güncel güvenlik uygulamalarını takip etmelisiniz.
