Compromised Nx Console Extension Uyarısı
Siber güvenlik araştırmacıları, Microsoft Visual Studio Code (VS Code) Marketplace’te yayınlanan bir Nx Console uzantısının tehlikeli bir versiyonunu tespit etti. Bu durum, yazılımcıların gizli bilgilerini hedef alan kritik bir güvenlik açığına dikkat çekiyor.
Saldırı Nasıl Çalışıyor?
Tespit edilen uzantı, nrwl.angular-console (sürüm 18.95.0), VS Code gibi kod editörleri için popüler bir kullanıcı arayüzü ve eklentidir. 2.2 milyondan fazla kurulumu bulunmaktadır. Olay, yazılımcının herhangi bir çalışma alanını açmasının ardından saniyeler içinde gerçekleşiyor; uzantı, resmi nrwl/nx GitHub deposunda gizlenmiş bir komut üzerinden 498 KB’lik obfuscate edilmiş bir yüke erişiyor ve bunu çalıştırıyor.
Payload, “çok aşamalı bir kimlik avı ve tedarik zinciri zehirleme aracı” olarak tanımlanıyor. Bu zararlı yazılım, geliştiricilerin sırlarını topluyor ve bunları HTTPS, GitHub API ve DNS tünelleme aracılığıyla dışarıya gönderiyor. Ayrıca, macOS sistemlerde GitHub Arama API’sini kullanarak daha fazla komut almak için bir Python arka kapısı kuruyor.
Etkilenen Sistemler
Nx uzantısındaki güvenlik açığının kaynağı, geliştiricilerden birinin makinesinin daha önceki bir güvenlik ihlali sonucu ele geçirilmiş olan GitHub kimlik bilgileridir. Uzantının bakıcıları, 18.100.0 veya daha yeni bir sürüme güncellenmesini öneriyor. Olayın ardından, aşağıdaki risk göstergeleri yayımlandı:
- Nx Console sürüm 18.95.0 ‘ın, 18 Mayıs 2026 saat 14:36 CEST ile 14:47 CEST arasındaki maruz kalma süresince kurulu olduğundan emin olun.
- Şu dosyaların varlığı: ~/.local/share/kitty/cat.py, ~/Library/LaunchAgents/com.user.kitty-monitor.plist, /var/tmp/.gh_update_state, veya /tmp/kitty-*.
- Aşağıdaki işlemlerin çalıştığından emin olun: cat.py’yi çalıştıran bir Python süreci ve ortamında __DAEMONIZED=1 olan bir süreç.
Çözüm ve Korunma
Etkilenen kullanıcıların şu adımları izlemeleri önerilmektedir:
- Zararlı süreçleri sonlandırın.
- Diskteki artifaktları silin.
- Etkilenen makineden erişilebilen tüm kimlik bilgilerini, tokenları, sırları ve SSH anahtarlarını değiştirin.
- Uzantının en son sürümüne güncellemeyi unutmayın: 18.100.0 veya üstü.
Bu, Nx ekosisteminin son bir yılda hedef alındığı ikinci olay. Haziran 2025’te, birkaç npm paketi bir tedarik zinciri saldırısı sırasında ele geçirildi. Ancak bu son saldırı, VS Code uzantısına yöneliktir.
Malicious npm Packages Galore
Aynı dönemde, çeşitli kötü niyetli paketlerin açık kaynak depolarında tespit edilmesi, bu güvenlik ihlalinin ciddiyetini artırmaktadır. Bulunan paketler şunlardır:
- iceberg-javascript, supabase-javascript, auth-javascript, microsoft-applicationinsights-common, ve ms-graph-types: Geliştirici kimlik bilgilerini çalmak için gizli bir ELF ikili dosyası içeren beş npm paketi.
- noon-contracts: SSH anahtarları, kripto cüzdan özel anahtarları ve AWS kimlik bilgilerini dışarıya sızdıran bir npm paketi.
- martinez-polygon-clipping-tony: Uzak erişim trojanı indiren bir trojanize forku.
- common-tg-service: Mağdurun Telegram hesabını ele geçirme işlevselliği içeren bir npm paketi.
- exiouss: ChatGPT ve OpenAI oturum çerezlerini çalmaya yönelik bir npm paketi.
- k8s-pod-checker, dev-env-setup, ve node-perf-utils: Kötü niyetli sunucular aracılığıyla LLM trafiğini yönlendiren paketi kuran üç npm paketi.
Sonuç olarak, daha fazla güvenlik ihlalinin önüne geçebilmek için kullanıcıların sistemlerini düzenli olarak güncellemesi ve güvenlik önlemlerini artırması hayati öneme sahiptir.
