Giriş
Son günlerde, Axios isimli popüler bir JavaScript HTTP istemcisine yönelik siber saldırılar, önemli bir güvenlik tehdidi oluşturdu. Bu saldırı, npm paket yöneticisi üzerinden gerçekleştiriliyor ve Linux, Windows ile macOS sistemlerini hedef alıyor.
Saldırı Nasıl Çalışıyor?
Saldırgan, Axios npm hesabını ele geçirerek iki zararlı sürüm yayınladı: [email protected] ve [email protected]. Zararlı bağımlılık, package.json dosyasına plain-crypto-js@^4.2.1 olarak eklendi, ancak Axios kodu değiştirilmedi. Bu bağımlılık, kurulum sırasında bir arka plan yükleyicisi (setup.js) çalıştırarak, işletim sistemine göre bir yük almak için bir komut ve kontrol (C2) sunucusuna bağlanır.
Saldırının her platformda nasıl gerçekleştiği şu şekildedir:
- Windows: VBScript ve PowerShell kullanarak gizli bir Komut İstemi penceresi açılır ve zararlı bir script çalıştırılır. Malware, PowerShell’i %PROGRAMDATA%wt.exe konumuna kopyalayarak tespit edilmesini engeller.
- macOS: AppleScript kullanarak bir ikili dosya indirir ve arka planda çalıştırır.
- Linux: Python tabanlı bir yükü /tmp/ld.py konumundan alır ve arka planda çalıştırır.
Tüm bu senaryolar, sistemde bir uzak erişim trojanı (RAT) bırakarak, saldırganların komut yürütmesine ve kalıcılığını sağlamasına olanak tanır.
Etkilenen Sistemler
Axios, dünyada yaklaşık 400 milyon aylık indirme ile geniş bir kullanıcı kitlesi tarafından tercih edilmektedir. Bu nedenle, saldırının etkilediği sistem sayısının yüksek olması muhtemeldir. Saldırının geçerliliği süresince tam olarak kaç projenin etkilendiği ise belirsizliğini koruyor.
Çözüm ve Korunma
Bu saldırıdan korunmak adına, kullanıcılara aşağıdaki adımları izlemeleri önerilmektedir:
- Geçerli sürümler: [email protected] ve [email protected] sürümlerine geçiş yapın.
- Eğer sisteminizin zarar gördüğünü düşünüyorsanız, tüm kimlik bilgilerinizi değiştirin ve sistemlerinizi bilinen temiz bir durumdan yeniden yapılandırın.
Saldırının detaylı analizi, bu tür güvenlik ihlallerinin öngörülmesi ve önlenmesi açısından son derece önemlidir. Kullanıcıların bu tarz saldırılara karşı her zaman dikkatli olması ve güncellemelerini düzenli olarak kontrol etmeleri gerekmektedir.
