npm Paketleriyle Gerçekleşen Phishing Saldırıları
Son dönemlerde siber güvenlik araştırmacıları tarafından tespit edilen 27 kötü niyetli npm (Node Package Manager) paketi, kullanıcıların giriş bilgilerini çalmak amacıyla tasarlanmış bir phishing altyapısını desteklemek için yayımlandı. Bu kampanya, özellikle kritik altyapılara yakın olan ticari ve satış personeline odaklanarak, hedef ülkeler arasında ABD ve müttefikleri yer almaktadır.
Kampanyanın Detayları
Socket isimli araştırma kuruluşunun bildirdiğine göre, toplamda 27 npm paketi altı farklı npm takma adı kullanılarak yayımlandı. Bu paketler, browser üzerinde çalıştırılan ve kullanıcıları belge paylaşım portallarına benzeten tuzaklar içeren bir yapıdadır. Kampanyanın amacı, bu tür içerikleri kullanarak kullanıcıları kimlik bilgilerini vermeye zorlamak olarak öne çıkmaktadır.
Uzmanlar, “Beş aylık bir süreçte bu 27 npm paketi, 25 farklı sektördeki organizasyonları hedef aldı” diyerek bu durumun ne denli ciddi olduğuna dikkat çekiyor. Bu sektörler arasında imalat, endüstriyel otomasyon, plastik ve sağlık hizmetleri yer almaktadır.
Phishing Altyapısının İşleyişi
Söz konusu npm paketlerinin bir avantajı, kullanıcıların bu paketleri yüklemesine gerek kalmadan çalışmasıdır. Araştırmacılar, npm ve içerik dağıtım ağlarını (CDN) kullanarak, kullanıcıları sahte Microsoft giriş sayfalarına yönlendiren HTML ve JavaScript tuzakları oluşturmuşlardır. Bu saldırılarda, mağdurların e-posta adresleri formu otomatik olarak doldurulmaktadır.
Kullanıcıları kandırmak için çeşitli teknikler kullanan siber saldırganlar, client-side kontrollerle analizi zorlaştırmak için botları filtrelemekte ve sadece insanların işlem yapmasını gerektiren mekanizmalar kullanmaktadır. Bu bağlamda, JavaScript kodlarının obfuscation ve minification işlemleri geçirmesi, otomatik incelemelerin zorlaşmasına yol açmaktadır.
Hedef Alınan Kişiler ve Bilgilerin Kaynağı
Bu kampanya, belirli bireylere ait 25 e-posta adresini hedef almış durumdadır. Bunlar, endüstriyel otomasyon, plastik ve polimer tedarik zincirleri, ayrıca sağlık sektöründe çalışan hesap yöneticileri ve satış temsilcileri olmaktadır. Hedef alınan e-posta adreslerinin nasıl elde edildiği ise belirsizliğini korumaktadır. Ancak birçok firmanın büyük uluslararası ticaret fuarlarına katılması, bilgilerin bu yolla edinilmiş olabileceğine işaret etmektedir.
Korunma Yöntemleri
Bu tür tehditleri önlemek adına yapılması gereken ilk şey, bağımlılıkların sıkı bir şekilde doğrulanmasıdır. Ayrıca, alışılmadık CDN taleplerinin kaydedilmesi, phishing direnci olan çok faktörlü kimlik doğrulamanın (MFA) uygulanması ve oturum sonrası şüpheli olayların izlenmesi önem arz etmektedir.
