Giriş
Son dönemde, Node Package Manager (NPM) ve Python Package Index (PyPI) üzerinde yayımlanan kötü amaçlı yazılımlar, Paysafe, Skrill ve Neteller gibi popüler ödeme uygulamalarının kullanıcılarını hedef alıyor. Bu durum, geliştiricilerin güvenliğini tehdit eden ciddi bir risk oluşturuyor.
Saldırı Nasıl Çalışıyor?
Saldırganlar, her biri kimlik bilgilerini çalmak üzere tasarlanan en az 17 kötü amaçlı paket yayımladı. Bu paketler, Amazon Web Services (AWS) üzerinde barındırılan bir komut ve kontrol sunucusuna veri akışı sağlamakta. Hedef alınan paketler şunlardır:
- npm/paysafe-checkout
- npm/paysafe-vault
- npm/neteller
- npm/skrill-payments
- npm/paysafe-js
- npm/paysafe-api
- npm/paysafe-node
- npm/paysafe-cards
- npm/paysafe-fraud
- npm/paysafe-kyc
- npm/skrill
- npm/skrill-sdk
- npm/paysafe-payments
- pypi/paysafe-kyc
- pypi/paysafe-payments
- pypi/paysafe-sdk
- pypi/paysafe-api
Açıkça görüldüğü gibi, bu paketler meşru ödeme SDK’ları gibi görünerek geliştiricileri kandırıyor. Ancak, Paysafe’in arka uç hizmetleriyle iletişim kurmak yerine sahte başarı yanıtları döndürmekte.
Etkilenen Sistemler
Özellikle e-ticaret siteleri, online pazarlar, oyun platformları ve finansal hizmetler sağlayan şirketler bu saldırılardan etkileniyor. Skrill ve Neteller gibi dijital cüzdanlar, çevrimiçi bahis, kripto para borsaları ve Forex ticaret platformları üzerinde yaygın olarak kullanılmakta.
Socket’e göre, bu saldırıdan etkilenen paketler, geliştiricilere crypto API anahtarları, AWS anahtarları, GitHub token’ları ve diğer hassas verileri çalmaktadır. Kötü niyetli kod, gizli bilgiler için ortamları taramakta.
Çözüm ve Korunma
Araştırmalar, bu paketlerin yüklenmesi durumunda, geliştiricilerin aşağıdaki adımları hızla atmasını önermektedir:
- Tüm gizli anahtarları değiştirme: Bu paketlerden herhangi biri sisteme yüklenmişse, ilgili makinelerdeki tüm gizlileri yenileyin.
- Paket adlarını kontrol etme: Kullanılan kampanya paket adı listesine göre bağımlılık ağaçlarını kontrol edin.
- CI sistem günlüklerini inceleme: PAYSAFE_API_KEY kelimesinin geçtiği kayıtları arayın.
Ayrıca, bu tür paketlerin kullanılmasını önleyecek şekilde kayıt proxy seviyesinde istekleri reddetmek önemlidir. Saldırganların ekosistemler arasında geçiş yapma yeteneği, savunmayı zorlaştırabilir; bu nedenle dikkatli olunmalıdır.
Sonuç olarak, güvenliğinizi sağlamak için belirtilen önlemleri hemen almanız önerilmektedir.


