Giriş
Son dönemlerde, Kuzey Koreli tehdit aktörlerinin yazılım geliştiricileri hedef alarak veri çalma ve kripto para cüzdanlarını yağmalama amacıyla geliştirdikleri yeni bir kampanya dikkat çekmektedir. Bu kampanya, sahte iş ilanları ve kodlama zorlukları kullanarak siber saldırıların boyutunu artırmaktadır.
Saldırı Nasıl Çalışıyor?
Kampanya, CVE-2024-1011 ve CVE-2024-1012 gibi belirtilen CVE kodları etrafında şekillenmektedir. Tehdit aktörleri, SVG resim dosyalarında steganografi yöntemleri kullanarak kötü amaçlı yükler gizlemektedir. Elastic Security Labs tarafından yapılan bir raporda belirtildiği gibi; bu kampanya, kullanıcıların projeyi çalıştırmasıyla OTTERCOOKIE adı verilen dört aşamalı bir kötü amaçlı yazılım yüklemesi ile sonuçlanmaktadır. Bu aşamalar şunlardır:
- Tarayıcı kimlik bilgilerini ve kripto para cüzdanlarını çalan bir yazılım.
- Dosya çalan bir yazılım.
- Socket.IO tabanlı uzaktan erişim trojanı (RAT).
- Panoya erişen bir yazılım.
Kampanya, 2022 Aralık ayından beri devam eden ve REF9403 takma adıyla izlenen daha geniş çerçeveli bir siber mühendislik operasyonu olarak karşımıza çıkmaktadır.
Etkilenen Sistemler
Tehdit aktörleri, Next.js (v14) , NestJS , PostgreSQL ve Auth.js gibi modern teknolojileri kullanarak bir e-ticaret platformunun güncellenmesi için deneyimli geliştiriciler arayan sahte iş ilanları paylaşmışlardır. Bu ilanlar, kullanıcıların kötü amaçlı yazılımları içeren bir kodlama değerlendirmesini tamamlamasına yol açan doğrudan mesajlara yönlendirilmesine neden olmuştur.
Çözüm ve Korunma
Bu saldırılara karşı korunmanın en etkili yolu aşağıdaki önlemleri almaktır:
- İşletim sisteminizi ve uygulamalarınızı düzenli olarak güncelleyin.
- Şüpheli kaynaklardan gelen mesaj ve bağlantılara karşı dikkatli olun.
- Kötü amaçlı yazılım koruma yazılımlarını etkinleştirin ve güncel tutun.
- Port kapama ve firewall ayarlarını gözden geçirin.
Bu tehditlerin boyutunu ve karmaşıklığını göz önünde bulundurarak, yazılım geliştiricileri ve IT profesyonelleri sürekli olarak eğitim almalı ve farkındalıklarını artırmalıdır.
Sonuç
Kuzey Koreli tehdit aktörleri, yazılım geliştiricileri hedef alarak geniş çaplı veri ihlallerini gerçekleştirebilmektedir. Kullanıcılar, şüpheli aktiviteleri izlemek, düzenli güncellemeler yapmak ve kötü amaçlı yazılım koruma önlemleri almak suretiyle bu tehditlerden korunmalıdır. Bilinçli ve dikkatli yaklaşım, siber tehditleri minimize etmede anahtar bir rol oynamaktadır.


