Giriş
Son dönemde, popüler bir Node.js modülü olan node-ipc’nin yeni sürümlerine zararlı yazılım enjekte edildiği tespit edildi. Bu durum, npm ekosisteminde yaşanan tedarik zinciri saldırılarının tehlikesini bir kez daha gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Kötü niyetli yazılım, [email protected], [email protected] ve [email protected] sürümlerinde bulunuyor. Bu zararlı kod, CommonJS giriş noktasında (node-ipc.cjs) gizlenmiş olup, uygulamalar yüklendiğinde otomatik olarak çalışıyor. Yazılım, etkilediği sistemleri parmak izi ile tanımlıyor, ortam değişkenleri ve hassas yerel dosyaları topluyor, bu verileri arşivlemesiyle kompres edip DNS TXT sorguları üzerinden dışarıya sızdırıyor.
Etkilenen Sistemler
Kötü niyetli yazılımla ilgili yapılan incelemelerde, aşağıdaki bilgilere erişildiği tespit edildi:
- Cloud bilgileri (AWS, Azure, GCP, OCI, DigitalOcean vb.)
- SSH anahtarları ve yapılandırmaları
- Kubernetes, Docker, Helm ve Terraform bilgiler
- npm, GitHub, GitLab ve Git CLI tokenları
- .env dosyaları ve veritabanı şifreleri
- Shell geçmişleri ve CI/CD sırları
- macOS Anahtar Zinciri dosyaları ve Linux anahtarlıkları
- macOS’de Firefox profil ve anahtar veritabanı dosyaları
- Microsoft Teams yerel depolama ve IndexedDB yolları
Malware, 4 MiB’den büyük dosyaları atlayarak etkinliğini artırıyor ve işlem gürültüsünü azaltmak için .git ve node_modules dizinlerini taramaktan kaçınıyor.
Çözüm ve Korunma
Zararlı yazılımın dışarı verilmesi için DNS TXT sorguları kullanılması dikkat çeken bir operasyonel özellik. Saldırganlar, sahte bir Azure temalı alan adı kullanarak bilgileri şifreli bir şekilde aktarıyorlar. Kullanıcıların, söz konusu zararlı yazılımları bulaşmış versiyonları hemen kaldırmaları, sızdırılan bilgileri güncellemeleri ve lockfile ile npm önbelleklerini kontrol etmeleri öneriliyor.
Sonuç
Etkilenen geliştiricilerin aşağıdaki adımları derhal atması önemlidir:
- Etki altında olan sürümleri kaldırın: [email protected], [email protected], [email protected].
- İfşa olan gizli anahtarları ve bilgileri dönüştürün.
- Lockfile ve npm önbelleklerini kontrol edin.
Bu tür tedarik zinciri saldırılarına karşı sürekli güncel kalmak ve gerekli önlemleri almak hayati önem taşımaktadır.
