Giriş
Jscrambler, npm paketinin kötü amaçlı bir versiyonunun yayınlandığını açıkladı ve bu sürüm, yaklaşık 1,500 kez indirildi. Bu olay, yazılımcıların ve organizasyonların bağımlılık yönetimi ve güvenlik önlemleri konusundaki dikkatsizliklerinin sonuçlarını açığa çıkarıyor.
Saldırı Nasıl Çalışıyor?
Kötü amaçlı Jscrambler paketi, 8.14 , 8.16 , 8.17 ve 8.20 sürümlerini kapsıyor ve ‘preinstall’ aşamasında çalışan bilgi çalan malware (kötü amaçlı yazılım) barındırıyor. Olayın detaylarına göre, bu paket, 2 saatlik bir zaman diliminde 1,479 kez indirildi.
Etkilenen Sistemler
Kötü amaçlı paket, Jscrambler’ın diğer dört paketinin bağımlılığıydı. Etkilenen sistemlerden bazıları şunlardır:
- Kaynak kodu ve proje dosyaları
- Geliştirici kimlik bilgileri ve sırları (Git, SSH, ortam değişkenleri, CI/CD tokenları)
- Bulut kimlik bilgileri ve gizli yöneticiler (AWS, Azure, GCP, Kubernetes)
- Yapay zeka kodlama araçları ve MCP yapılandırmaları (Claude, Cursor, Windsurf, VS Code, Zed)
- Kripto para cüzdanları ve tohum kelimeleri (MetaMask, Phantom, Coinbase, Exodus, Trust Wallet)
- Tarayıcı verileri (çerezler, kaydedilmiş kimlik bilgileri)
- Mesajlaşma ve iş birliği uygulamaları (Slack, Discord, Telegram)
Çözüm ve Korunma
Jscrambler, kötü amaçlı paketin yalnızca bu paket ile sınırlı olduğunu, diğer ürünleri etkilemediğini vurguladı. Olayın ardından, kötü amaçlı versiyon 2 saat boyunca aktif kalmış ve daha sonra 8.22 sürümü ile güvenli bir versiyon yayınlanmıştır. Olayı tespit eden uygulama güvenliği şirketi Socket , zararlı yazılımın ChaCha20-Poly1305 şifreleme algoritması kullanarak güçlü bir dize obfuscation (saklama) gerçekleştirdiğini bildirdi.
Geliştiriciler, bu kötü amaçlı npm paketlerini kullandıysa, ortamlarını tehlikeye girmiş olarak değerlendirmeli ve şu adımları atmalıdırlar:
- Tüm kimlik bilgilerini döndürün.
- Güvenli yedeklerden geri yükleyin.
Ayrıca, Jscrambler, kullanıcıların ürünlerinin en son sürümünü kullandıklarından emin olmalarını öneriyor.
Sonuç
Bu olay, güvenlik açığı ve kötü amaçlı yazılımlara karşı sürekli bir dikkat ve önlem alınması gerektiğini gösteriyor. Eğer bu paketi kullandıysanız, derhal güncellemeler yapın ve güvenlik önlemlerinizi gözden geçirin. Bağımlılıklarınızı düzenli olarak kontrol edin ve güncel tutun.


