Giriş
Son günlerde, jscrambler npm paketinin 8.14.0 versiyonu, kötü niyetli bir “preinstall” işlem kancası taşıdığı ortaya çıktı. Bu durum, özellikle yazılımcıların gizli bilgilerini hedef alan bir siber saldırı riski taşımaktadır.
Saldırı Nasıl Çalışıyor?
8.14.0 versiyonu, yükleme esnasında otomatik olarak çalışacak bir infostealer yükleyicisi içeriyor. Kurulum süresi içinde aşağıdaki işlemleri gerçekleştiriyor:
- setup.js adlı bir yükleyici, sistem işletim sistemini tespit eder ve uygun ikili dosyayı rastgele bir isimle sistem geçici dizinine kaydeder.
- Yükleyici, kaydedilen dosyayı çalıştırır ve çıktısını gizler.
Kötü niyetli dosyalar, jscrambler’ın public kaynak kodlarında yer almıyor ve 8.14.0 için GitHub deposunda hiçbir eşleşen commit, tag veya pull request bulunmuyor. Ayrıca, payload’ın hedefleri oldukça geniş: AWS, Azure ve Google Cloud’dan bulut kimlik bilgileri, kripto para cüzdanları ve ayrıca AI kodlama araçlarına dair yapılandırma dosyaları ele geçirilmektedir.
Etkilenen Sistemler
Bu kötü niyetli yükleyici, Windows , macOS ve Linux platformlarını hedef alıyor. Her bir platform için özel olarak tasarlanmış ikili dosyalar içeriyor ve şu anahtar bilgileri topluyor:
- Bulut kimlik bilgileri (AWS, Azure, Google Cloud)
- Kripto para cüzdanları (MetaMask, Phantom, Exodus)
- Tarayıcıda saklanan kullanıcı adı ve şifreler
- AI araçlarının yapılandırma dosyaları
Özellikle Linux sistemlerinde, kernel’in BPF kütüphanesi ile bağlantı kurarak kullanıcının izni olmadan ileri seviye bilgi çalmaktadır.
Çözüm ve Korunma
Geliştiricilerin 8.14.0 versiyonunu hızla terk etmesi kritik öneme sahiptir. Aşağıdaki adımları izlemeleri önerilir:
- 8.14.0 versiyonunu kullanmayı bırakın; 8.15.0 versiyonuna geçin ya da 8.13.0 versiyonuna sabitleyin.
- Kendi sisteminizde bu sürümün kurulu olup olmadığını kontrol edin ve ilgili günlükleri tarayın.
- Eğer 8.14.0 sürümü çalıştıyse, tüm gizli bilgilerinizi tehlikeye girmiş sayın ve bunları yenileyin.
Şu an npm üzerinde 8.14.0 hala mevcut. Herhangi bir lockfile ya da komut, bu sürümü kurmaya devam edebilir, bu yüzden derlemelerinizi gözden geçirmeniz önemlidir.
Sonuç
jscrambler 8.14.0 versiyonu hızlı bir şekilde saldırı gerçekleştirmiştir ve bu sürümden etkilenen sistemlerin izlenmesi gerekmektedir. Geliştiricilerin güncellemeleri dikkate alarak, güvenlik önlemlerini hızlı bir şekilde alması gerekmektedir. Port kapatma, güvenlik güncellemeleri ve kimlik bilgisi yenileme işlemleri, bu tür siber saldırılara karşı alınacak önlemler arasında yer alır.


