Giriş
Yeni bir tedarik zinciri saldırısı, Node Package Manager (npm) ekosistemini hedef alarak geliştirici kimlik bilgilerini çalmaktadır. Bu saldırı, compromize edilmiş hesaplardan yayılan paketler aracılığıyla gerçekleştirilmektedir ve bu durum siber güvenlik açısından büyük bir tehdit oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Araştırmalar, Socket ve StepSecurity adlı uygulama güvenliği şirketlerinin, Namastex Labs tarafından yayımlanan bir dizi paket üzerinde bu tehditi tespit ettiğini göstermektedir. Saldırı, yüksek değerli son noktaları hedef almasına rağmen, kendini yayıma yeteneğine sahip bir solucan gibi işlev görmektedir. Araştırmacılar, bu saldırının şu yöntemleri kullandığını belirlemiştir:
- Kimlik bilgilerini çalma
- Veri dışa aktarma
- Kendini yayma
Saldırgan kod, kullanıcının hassas verilerini toplamak üzere tasarlanmıştır; bu veriler arasında şunlar bulunmaktadır:
- Token’lar
- API anahtarları
- SSH anahtarları
- Bulut hizmetleri için kimlik bilgileri
- CI/CD sistemleri
- Kubernetes/Docker yapılandırmaları
Ayrıca, Chrome ve Firefox’ta depolanan hassas verileri, örneğin MetaMask, Exodus, Atomic Wallet ve Phantom gibi kripto cüzdanlarını da ele geçirir.
Etkilenen Sistemler
Bu saldırıda etkilenen paketler arasında şunlar bulunmaktadır:
- @automagik/genie (4.260421.33-4.260421.39)
- pgserve (1.1.11–1.1.13)
- @fairwords/websocket (1.0.38-1.0.39)
- @fairwords/loopback-connector-es (1.4.3-1.4.4)
- @openwebconcept/theme-owc (1.0.3)
- @openwebconcept/design-tokens (1.0.3)
Bu paketler, AI araçlarının kullanılmasında ve veritabanı işlemlerinde kritik öneme sahiptir, bu yüzden saldırı önemli etkilere yol açabilir.
Çözüm ve Korunma
Geliştiricilerin derhal şu adımları atması gerekmektedir:
- Tüm belirtilen paket sürümlerini kötü amaçlı olarak değerlendirin ve sistemlerden ve CI/CD boru hatlarından kaldırın.
- Bütün potansiyel olarak maruz kalmış sırların ve kimlik bilgilerinizi değiştirin.
- İçsel paket yansımaları, sanal varlıklar ve önbellekler için tarama yapın.
- Benzer public.pem dosyalarına, webhook anahtarlarına veya postinstall desenlerine sahip diğer paketleri denetleyin.
Socket ve StepSecurity, geliştiricilerin tehlikeye atılmış geliştirme ortamlarını tespit etmelerine yardımcı olacak ipuçları sunmaktadır.
Sonuç
Geliştiricilerin, etkilenen paketlerin bulunduğu geliştirme ve CI/CD ortamlarından derhal kaldırılması ve tüm kimlik bilgilerini değiştirmeleri kritik öneme sahiptir. Siber güvenlik konusunda proaktif olmak, bu tür saldırılara karşı en etkili savunma yöntemlerinden biridir.
