Kuzey Kore Tehdit Aktörlerinin Son Saldırıları
Kuzey Koreli tehdit aktörleri, Node Package Manager (npm) üzerinde 67 kötü amaçlı paket yayınlayarak, geliştirici sistemlerine yönelik yeni bir kötü amaçlı yazılım yükleyici olan XORIndex‘i dağıtmıştır. Bu paketlerin toplamda 17,000’den fazla indirme aldığı belirlenmiştir. Bu saldırılar, Socket adlı güvenlik platformundaki araştırmacılar tarafından fark edilmiştir. Araştırmacılar, bu saldırıların devam eden Contagious Interview operasyonunun bir parçası olduğu görüşündeler.
Bu operasyon, Kuzey Kore’nin devlet destekli bir kampanyasıdır ve çoğunlukla geliştiricileri hedef alarak, sahte iş teklifleri ile onları sistemlerinde kötü amaçlı kod çalıştırmaları için kandırmayı amaçlar. Amacı, hassas bilgileri toplamak ve bunlarla şirketleri ihlal etmek veya kripto para varlıklarını çalmaktır.
npm ve Riskler
Node Package Manager (npm), Node.js için varsayılan paket yöneticisi olup, geliştiricilerin JavaScript kütüphanelerini ve araçlarını yayımlayıp yüklemelerini sağlar. Web geliştirme alanında yaygın olarak kullanılmasına rağmen, tehdit aktörleri tarafından kötü amaçlı yazılım dağıtımında sıkça istismar edilmektedir.
Yayınlanan 67 paketten birkaçı, meşru yazılım projelerinin ve kütüphanelerinin isimlerini taklit etmektedir. Bu paketler arasında şunlar bulunmaktadır:
- vite-meta-plugin
- vite-postcss-tools
- vite-logging-tool
- pretty-chalk
- js-prettier
Kurbanlar yukarıdaki paketlerden herhangi birini yüklediklerinde, bir ‘postinstall’ scripti çalıştırarak XORIndex Loader‘ı başlatmaktadır. XORIndex Loader, her kurbanın bilgisini toplamakta ve bunu bir komuta ve kontrol (C2) adresine göndermektedir. Bu C2 sunucusu, kurbanın sisteminde çalıştırılmak üzere bir veya daha fazla JavaScript yüklemesi ile yanıt vermektedir. Bu yüklemeler genellikle BeaverTail ve InvisibleFerret arka kapılarıdır.
Kötü Amaçlı Yazılımların Etkileri
Bu iki kötü amaçlı yazılım, ele geçirilen makinelere erişim sağlar, veri sızdırılmasına olanak tanır ve daha fazla yükleme yapılmasına izin verir. Araştırmacılara göre, Kuzey Koreli hackerlar, tespit edilmekten kaçınmak için eski ve yeni araçları ince ince modifiye ederek karıştırmaktadır. npm temizlediğinde her seferinde farklı hesaplar ve paket isimleri ile geri dönmektedirler.
Socket araştırmacıları, “Contagious Interview tehdit aktörleri, kötü amaçlı yazılım portföylerini çeşitlendirmeye devam edecek, yeni npm bakımcı takma adlarını dolaşacak ve XORIndex Loader gibi yeni gözlemlenmiş varyantları aktif bir şekilde yayınlayacaklar” demektedir. Bu tehditlerin devam edeceği uyarısında bulunulmaktadır.
Korunma Yolları
Araştırmacılar, son kampanyadan kaynaklanan kötü amaçlı paketleri npm’ye bildirdiklerini, ancak bazı paketlerin hala depoda mevcut olabileceğini vurgulamaktadır. Geliştiricilerin, kullanılan paketleri dikkatlice kontrol etmeleri, yanlış yazım amaçlı sahte içeriklerden kaçınmaları ve güvenilir projelerle yayıncılara güvenmeleri önemlidir. Ayrıca, depo aktivitelerini inceleyerek otomasyona dair belirtilerin olup olmadığını da dikkatlice kontrol etmek gerekebilir.
Yeni kütüphaneleri kullanmadan önce, her zaman kaynak kodunu gözden geçirmek ve güvenliklerini değerlendirmek amacıyla izole ortamda çalıştırmak faydalı olacaktır.
Sonuç
Kuzey Koreli tehdit aktörlerinin bu tür saldırıları, yazılım geliştirme ortamlarının güvenliğini tehdit etmeye devam etmektedir. Geliştiricilerin bu aktiviteleri tanıması ve gerekli önlemleri alması, siber güvenlik açısından büyük önem taşımaktadır. Yazılımların güvenliğine özen göstermenin yanı sıra, sistemlerinizi korumak için bilinçli ve temkinli bir yaklaşım sergilemek hayati önem taşıyacaktır. Geliştiricilere düşen görev, bu tür kötü niyetli aktiviteleri önlemek için gerekli önlemleri alarak hem kendilerini hem de kullanıcılarını korumaktır.
