Giriş
Yakın zamanda Axios npm paketinin bakıcısı, Kuzey Koreli siber tehdit aktörleri tarafından gerçekleştirilen hedeflenmiş bir sosyal mühendislik saldırısının sonucunda bir tedarik zinciri ihlalinin yaşandığını doğruladı. Bu durum, açık kaynak yazılım projelerinin hedef haline geldiğini ve etkilerinin geniş çapta yayıldığını gösteriyor.
Saldırı Nasıl Çalışıyor?
Saldırı, North Korean threat actors olarak bilinen UNC1069 grubunun uzmanlaşmış sosyal mühendislik teknikleriyle gerçekleştirildi. Bakıcı Jason Saayman , saldırganların önce kendisine meşhur bir şirketin kurucusu gibi yaklaştığını ve etkileyici bir Slack çalışma alanı oluşturduklarını belirtti. Bu alan, şirketin kimliğine uygun bir şekilde tasarlandı ve kullanıcılar LinkedIn paylaşımlarını gördü.
Takip eden süreçte, saldırganlar Saayman ile sahte bir Microsoft Teams toplantısı düzenledi. Toplantıya katıldığında, bir hata mesajı ile karşılaşarak güncelleme yapması istendi. Güncelleme başlatıldığında, uzaktan erişim trojanı deploy edildi.
Etkilenen Sistemler
Saldırı sonucunda Axios npm paketinin iki trojanize versiyonu yayımlandı: 1.14.1 ve 0.30.4 . Bu versiyonlar, üzerinde WAVESHAPER.V2 adında bir implant barındırıyordu. Axios, haftada yaklaşık 100 milyon indirme ile JavaScript ekosisteminde yaygın olarak kullanılıyor, bu da saldırının potansiyel etkisini artırıyor.
Çözüm ve Korunma
Saayman, saldırının ardından çeşitli önlemler aldı. Bu önlemler şunlardır:
- Çalışan tüm cihazların ve kimlik bilgilerinin sıfırlanması
- Değiştirilemez sürümlerin (immutable releases) benimsenmesi
- Yayınlama işlemleri için OIDC akışının (OpenID Connect) uygulanması
- GitHub Actions’ta en iyi uygulamaların benimsenmesi
Bu önlemler, açık kaynak projelerin güvenliğini artırmak için kritik öneme sahiptir. Saldırının karmaşık yapısı, bir sonraki güvenlik ihlaline karşı hazırlıklı olmamız gerektiğini gösteriyor.
Sonuç
Okuyucuların, özellikle açık kaynak yazılımlarını kullananların, sistemlerini güncellemeleri ve güvenlik önlemlerini gözden geçirmeleri önemlidir. Gerekirse, yazılımlarını kullanmaktan vazgeçmeye veya kaynak paketlerini kontrol etmeye yönelmelidirler. Etkili bir güvenlik stratejisi geliştirmek, bu tür saldırılara karşı en önemli savunmadır.
