Kuzey Koreli bir hackerın, milyonlarca geliştiriciyi tehlikeye atabilecek zararlı yazılım dağıtmak için popüler bir açık kaynak yazılım geliştirme aracını ele geçirip değiştirdiği bildirildi.
Pazartesi günü, saldırgan, yazılımcıların yazılımlarını internete bağlamasına olanak tanıyan yaygın olarak kullanılan JavaScript kütüphanesi Axios’un zararlı sürümlerini yayınladı. Etkilenmiş kütüphane, açık kaynak projelerin kodlarını barındıran npm üzerinde yer aldı. Axios, her hafta on milyonlarca kez indirilmekte.
Hackerın saldırısı, güvenlik firması StepSecurity’nin analizine göre, pazartesiye salıya gece saatlerinde yaklaşık üç saat içinde tespit edilip durduruldu. Söz konusu zararlı yazılımın yaklaşık 2 saat 53 dakika boyunca çevrimiçi olduğu belirtildi.
Saldırganlar, yaygın açık kaynak projelerin geliştiricilerini hedef alarak, saldırıya uğrayan kodu kullananları topluca hacklemeyi amaçlıyor. Bu tür geniş kapsamlı ihlaller, yazılımı indirenleri hedef aldıkları için “tedarik zinciri saldırıları” olarak adlandırılmakta. Son yıllarda, 3CX, Kaseya ve SolarWinds gibi şirketlerin yanı sıra Log4j ve Polyfill.io gibi açık kaynak araçlar da bu tür saldırılara maruz kaldı.
Zararlı Axios sürümünü kaç kişinin indirdiği henüz netlik kazanmadı. Saldırıyı araştıran güvenlik şirketi Aikido, kodu indirenlerin sistemlerinin “kompromize olduğunu varsayması gerektiğini” vurguladı.
Google, TechCrunch’a yaptığı açıklamada, Axios’un ele geçirilmesinin Kuzey Koreli hackerlarla bağlantılı olduğuna dikkat çekti.
Google Tehdit İstihbarat Grubu’nun baş analisti John Hultquist, “Bu saldırıyı, UNC1069 olarak takip ettiğimiz şüpheli Kuzey Koreli tehdit aktörüne atfettik,” dedi. “Kuzey Koreli hackerlar, tarihsel olarak kripto para çalmak için kullandıkları tedarik zinciri saldırılarında derin deneyime sahip. Bu olgunun kapsamı henüz net değil; ancak, ele geçirilen paketlerin popülaritesine bakıldığında, geniş etkiler yaratmasını bekliyoruz.”
Hacker, Axios’a zararlı kod eklemeyi, projeye katkıda bulunan ana geliştiricilerden birinin hesabını ele geçirerek başardı. Saldırgan, geliştiricinin e-posta adresini kendi adresiyle değiştirdi ve bu durum erişimi geri kazanmayı zorlaştırdı.
Hesap üzerinde kontrol sağlayınca, hacker, uzaktan erişim trojanı (RAT) olarak adlandırılan, esasen bir kurbanın bilgisayarında tam uzaktan kontrol sağlamak için tasarlanmış zararlı kodları ekledi. Saldırgan daha sonra, Windows, macOS ve Linux kullanıcıları için meşru görünümlü bir güncelleme ile Axios’un yeni sürümlerini yayınladı.
Araştırmacılara göre, hackerlar ayrıca zararlı yazılımı ve bunu dağıtmak için kullanılan bazı kodları, anti-zararlı yazılım motorlarından ve araştırmacılardan gizlenmek amacıyla, kurulumdan sonra otomatik olarak silinecek şekilde tasarladı.
Güncellendi: Google’dan Kuzey Kore atıfları eklendi.
