Son Gelişmeler: Kuzey Koreli Hackerlar ve Mastra AI Saldırısı
Kuzey Koreli Sapphire Sleet (BlueNoroff) hacker grubunun, 140’tan fazla npm paketi üzerinde kontrol sağlayarak gerçekleştirdiği Mastra AI tedarik zinciri saldırısı, yazılım geliştirme dünyasında büyük bir tehdit oluşturmuştur. Microsoft’un bu durumu gündeme getirmesiyle birlikte, geliştiricilerin güvenliğini sağlamak için acil önlemler alınması gerekliliği bir kez daha ortaya çıkmıştır.
Saldırı Nasıl Çalışıyor?
Saldırı, tehdit aktörlerinin “ehindero” isimli npm yönetici hesabını ele geçirmesiyle başladı. Bu hesap, Mastra paket ortamında yayınlama ayrıcalıklarına sahipti.
- Attackers used the compromised account to publish malicious updates for over 140 packages in the @mastra scope.
- The malicious update injected a trojan dependency named “easy-day-js”, which is a typosquat of the legitimate dayjs JavaScript library.
- When users installed compromised packages, the malicious dependency executed a post-install hook, deploying a malware dropper aimed at stealing sensitive information.
Microsoft’un açıklamasına göre, easy-day-js kurulduğunda bir obfuscation (kafa karıştırma) yöntemiyle çalışan bir dropper scriptini yürüttü ve bunun sonucunda çeşitli kimlik bilgileri ve API anahtarları gibi hassas verileri çalmaya yönelik bir saldırı gerçekleştirdi.
Etkilenen Sistemler
Saldırının ikinci aşaması, çok platformlu bir bilgi hırsızını içeren kötü amaçlı yazılımın indirilmesiyle gerçekleşti. Bu yazılım, Windows, Linux ve macOS sistemlerini hedef alıyordu.
- Bilgileri topladı: Ana makine verileri, tarayıcı geçmişleri ve yüklenmiş uygulamalar
- Grafik araştırması: 166 farklı kripto para cüzdanı uzantısının kurulu olup olmadığını kontrol etti; bu uzantılar arasında MetaMask, Phantom, Coinbase Wallet, Binance Wallet ve TronLink yer almaktadır.
- Farklı kalıcılık yöntemleri kullandı: Windows Kayıt Defteri çalıştırma anahtarları, macOS LaunchAgents ve Linux systemd servisleri aracılığıyla.
Çözüm ve Korunma
Microsoft’un yaptığı açıklamalara göre, saldırganların komut ve kontrol (C2) sunucularıyla iletişim kuran sistemlerde Sapphire Sleet grubuna ait taktiklerin kullanıldığı tespit edilmiştir.
- Öncelikle, PowerShell backdoor ve diğer kalıcılık mekanizmalarının kullanıldığı görülmüştür.
- Microsoft Defender istisnalarının oluşturulması ve kötü amaçlı Windows servisleri ile SYSTEM yetkilerinin sağlandığı rapor edilmiştir.
Sapphire Sleet’in daha önce Axios HTTP client üzerinde gerçekleştirdiği tedarik zinciri saldırısı ile de ilişkilendirilmektedir.
Sonuç ve Öneriler
Geliştiricilerin ve sistem yöneticilerinin, üretim ortamlarındaki npm paketlerini ve bağımlılıklarını düzenli olarak gözden geçirmesi, güncellemeleri takip etmesi ve gerekirse güncellemeleri hemen yapması gerekmektedir.
- Güncellemelerinizi kontrol edin ve 140’tan fazla etkilenen paketi güncellediğinizden emin olun.
- Güvenlik yazılımlarınızı ve sistemlerinizi kontrol edin, bu tür kötü amaçlı yazılımların izlerini takip edin.
- Portlarınızı gerektiğinde kapatın ve herhangi bir şüpheli aktiviteyi izleyin.
Güvenli bir yazılım geliştirme süreci için bu önlemleri almak, siber güvenlik risklerini minimize edecektir. Unutmayın, güncel kalmak her zaman en iyi koruma yöntemidir.
