Siber Güvenlik

Acil: Popüler node-ipc npm Paketi, Kimlik Bilgilerini Çalmak İçin Tehdit Altında

teknomers
teknomers

Giriş

Son dönemde, popüler bir Node.js modülü olan node-ipc’nin yeni sürümlerine zararlı yazılım enjekte edildiği tespit edildi. Bu durum, npm ekosisteminde yaşanan tedarik zinciri saldırılarının tehlikesini bir kez daha gözler önüne seriyor.

Contents

Saldırı Nasıl Çalışıyor?

Kötü niyetli yazılım, [email protected], [email protected] ve [email protected] sürümlerinde bulunuyor. Bu zararlı kod, CommonJS giriş noktasında (node-ipc.cjs) gizlenmiş olup, uygulamalar yüklendiğinde otomatik olarak çalışıyor. Yazılım, etkilediği sistemleri parmak izi ile tanımlıyor, ortam değişkenleri ve hassas yerel dosyaları topluyor, bu verileri arşivlemesiyle kompres edip DNS TXT sorguları üzerinden dışarıya sızdırıyor.

Etkilenen Sistemler

Kötü niyetli yazılımla ilgili yapılan incelemelerde, aşağıdaki bilgilere erişildiği tespit edildi:

  • Cloud bilgileri (AWS, Azure, GCP, OCI, DigitalOcean vb.)
  • SSH anahtarları ve yapılandırmaları
  • Kubernetes, Docker, Helm ve Terraform bilgiler
  • npm, GitHub, GitLab ve Git CLI tokenları
  • .env dosyaları ve veritabanı şifreleri
  • Shell geçmişleri ve CI/CD sırları
  • macOS Anahtar Zinciri dosyaları ve Linux anahtarlıkları
  • macOS’de Firefox profil ve anahtar veritabanı dosyaları
  • Microsoft Teams yerel depolama ve IndexedDB yolları

Malware, 4 MiB’den büyük dosyaları atlayarak etkinliğini artırıyor ve işlem gürültüsünü azaltmak için .git ve node_modules dizinlerini taramaktan kaçınıyor.

Çözüm ve Korunma

Zararlı yazılımın dışarı verilmesi için DNS TXT sorguları kullanılması dikkat çeken bir operasyonel özellik. Saldırganlar, sahte bir Azure temalı alan adı kullanarak bilgileri şifreli bir şekilde aktarıyorlar. Kullanıcıların, söz konusu zararlı yazılımları bulaşmış versiyonları hemen kaldırmaları, sızdırılan bilgileri güncellemeleri ve lockfile ile npm önbelleklerini kontrol etmeleri öneriliyor.

Sonuç

Etkilenen geliştiricilerin aşağıdaki adımları derhal atması önemlidir:

Bu tür tedarik zinciri saldırılarına karşı sürekli güncel kalmak ve gerekli önlemleri almak hayati önem taşımaktadır.

SSH Sunucuları ‘Proxyjacking’ Siber Saldırılarında Vuruldu
Nijeryalı girişim Taeillo, çevrimiçi mobilya e-ticaret platformunu ölçeklendirmek için fon sağladı
WhatsApp e-Challan Dolandırıcılığında Hintlileri Hedef Almak İçin ‘Maorrisbot’ Kullanan Vietnamlı Bilgisayar Korsanları: CloudSEK
OpenAI, Ödeme Yapan Aboneler için Özel Sohbet Robotlarına Erişim Sağlayan GPT Mağazasını Başlatıyor
Mini Golf, Dungeon Crawler ile Buluşuyor, Zindan İçin Par
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale ABD, Çin Gezisi Sonrası Air Force One Yolcularından Hediyeleri İade Etmesini İstedi
Sonraki Makale Analogue 3D Kayıt Durumlarına Kavuşuyor

Sanal Medya

Son Eklenenler

Sağlık Takibi Doğruluğu Bazen Abartılıyor mu?
Liste
Avrupa Kendi AI’sını İstiyor: Amerikan Etkisine Son!
Genel
PC Meraklıları için Hoto Araçlarında %55’e Kadar İndirim Fırsatı
Donanım
Laravel Filament Çoklu Kiracı Başlangıç Seti – Uygulamanızı Hızla Geliştirin
Yazılım
Yaz dönemi oyun dünyasını sarsacak 10 harika oyun seçimi
Oyun
Kritik! Amazon Q Geliştirici Açığıyla Kötü Niyetli Kod Çalıştırılabilir
Siber Güvenlik