Giriş
Kuzey Koreli siber tehdit grubu UNC1069, popüler Axios npm paketinin tedarik zinciri açıklarını kullanarak gerçekleşen bir saldırıyı üstlendi. Bu saldırı, dünya genelinde geliştiriciler arasında yaygın olarak kullanılan bir paketin güvenliğini tehlikeye atarak ciddi etkilere yol açabilecek potansiyele sahiptir.
Saldırı Nasıl Çalışıyor?
Saldırganlar, paket yöneticisinin npm hesabını ele geçirip kötü amaçlı yazılım içeren iki trojan versiyonunu (1.14.1 ve 0.30.4) kullandı. Bu versiyonlar, “plain-crypto-js” adında bir kötü amaçlı bağımlılık ekleyerek, Windows, macOS ve Linux sistemlerini etkileyebilen bir arka kapı (backdoor) yerleştiriyor.
Bu saldırı, Axios kodunda herhangi bir değişiklik yapmadan, kötü amaçlı bağımlılığın package.json dosyasında bulunan postinstall kancası (hook) aracılığıyla gizli bir yürütme sağlıyor. Axios paketi yüklendikten sonra, npm otomatik olarak arka planda kötü amaçlı kodu çalıştırıyor.
“Plain-crypto-js” paketi, SILKBELL (“setup.js”) olarak adlandırılan bir JavaScript dropper’ı için “payload teslimatı aracı” olarak işlev görüyor ve hedef sistemin işletim sistemine göre bir sonraki aşamayı uzaktan sunucudan indiriyor.
Etkilenen Sistemler
Saldırının hedef aldığı sistemler şunlardır:
- Windows
- macOS
- Linux
Her işletim sistemi için farklı bir kötü amaçlı yazılım varsa buna göre özel bir uzantı indiriliyor. Örneğin, Windows için PowerShell kötü amaçlı yazılımı, macOS için C++ Mach-O ikili dosyası ve Linux için Python arka kapısı kullanılıyor.
Çözüm ve Korunma
Etkilenen kullanıcılar için önerilen adımlar şunlardır:
- Bağımlılık ağaçlarını inceleyin ve compromised (kompromite) versiyonları tespit ederek güvenli bir versiyona geri dönüş yapın.
- package-lock.json dosyasında Axios’u bilinen güvenli bir versiyona sabitleyin.
- Node_modules dizininde “plain-crypto-js” varlığını kontrol edin.
- Kötü amaçlı işlemleri sonlandırın ve C2 alan adını (örneğin, “sfrclak[.]com”, IP adresi: 142.11.206[.]73) bloke edin.
- Etkilenen sistemleri izole edin ve tüm kimlik bilgilerini güncelleyin.
Saldırı planlandığı gibi ölçeklenebilir bir operasyon olarak görülmelidir. Geliştiriciler, npm bağımlılıklarını düzenli olarak gözden geçirmeli ve yüklü olan tüm paket yöneticilerini incelemelidir.
Sonuç
Geliştiricilerin, Axios npm paketinin en son sürümünü kullanıp kullanmadıklarını kontrol etmeleri ve hemen gerekli güncellemeleri yapmaları önemlidir. Ek olarak, şüpheli herhangi bir aktivite tespit edildiğinde, anında müdahale etmeleri gerektiğini unutmamalıdırlar. Kendi kod tabanlarını ve teslimat hatlarını gözden geçirmek, siber saldırılara karşı hazırlıklı olmaları açısından kritik öneme sahiptir.
