NPM İndeksindeki Tehditler ve Dikkat Edilmesi Gerekenler
Son günlerde, NPM (Node Package Manager) indeksinde ortaya çıkan 60 adet kötü amaçlı paket, kullanıcıların hassas ağ ve sistem verilerini toplama ve bunları belirli bir Discord webhook‘una gönderme amacı taşıyor. Bu durum, kod geliştiricilerinin güvenlik risklerine maruz kalmasına neden olabilir. Socket‘ın Tehdit Araştırma ekibine göre, bu paketler 12 Mayıs’ta üç farklı yayıncı hesabı ile NPM deposuna yüklendi.
Bu kötü amaçlı paketlerin her biri, npm install komutu sırasında otomatik olarak çalıştırılan bir post-install script‘i içeriyor. Bu script, aşağıdaki bilgileri toplamaktadır:
- Hostname
- Dahili IP adresi
- Kullanıcı ana dizini
- Mevcut çalışma dizini
- Kullanıcı adı
- Sistem DNS sunucuları
Script, ayrıca, analiz ortamında mı çalıştığını belirlemek amacıyla bulut sağlayıcıları ile ilişkili hostnameleri ve ters DNS dizelerini kontrol ediyor.
Socket, bu kötü amaçlı paketlerin ikinci aşama yüklerinin teslimatı, yetki yükseltmeleri veya kalıcı mekanizmaların gözlemlenmediğini belirtmekte. Ancak, toplanan verilerin niteliği göz önüne alındığında, hedefli ağ saldırılarının tehlikesi oldukça büyüktür.
Kötü Amaçlı Paketler NPM’de Hala Mevcut
Araştırmacılar, bu kötü amaçlı paketleri raporlamış olsalar da, yazının yazıldığı tarihte hâlâ NPM’de bulunmaktaydılar ve 3,000’lik bir toplam indirme sayısına sahiplerdi. Yayın zamanı itibarıyla ise, bu paketlerin hiçbiri depo içerisinde mevcut değildi.
Kampanya arkasındaki tehdit aktörü, geliştiricileri kandırmak için indekslerdeki meşru paketlere benzer isimler kullanmış. Örneğin ‘flipper-plugins’, ‘react-xterm2’ ve ‘hermes-inspector-msggen’ gibi isimler kullanarak güven oluşturmayı amaçlayan ve test etme ile ilgili olan isimler tercih edilmiştir.
Eğer bu paketlerden herhangi birisini yüklediyseniz, hemen kaldırmanız ve sisteminizi tam bir taramadan geçirmeniz önerilmektedir. Bu sayede potansiyel enfeksiyon kalıntılarını ortadan kaldırabilirsiniz.
NPM Üzerindeki Veri Silici Paketler
Socket’ın açıkladığı bir diğer kötü amaçlı kampanya, NPM üzerinde yer alan ve meşru araçları taklit eden sekiz kötü amaçlı paketi içeriyor. Bu paketler, typosquatting tekniğiyle oluşturulmuş ve dosyaları silme, verileri bozma ve sistemleri kapatma kapasitesine sahip.
Bir süre boyunca NPM’de mevcut kalan bu paketler, React, Vue.js, Vite, Node.js ve Quill ekosistemlerini hedef almış ve toplamda 6,200 indirme almışlardır. Uzun süre boyunca tespit edilmeyişlerinin sebebi, yüklerin sabit bir sistem tarihlerine bağlı olarak aktif olması ve kademeli olarak çerçeve dosyalarını yok etme, Javascript çekirdek yöntemlerini bozma ve tarayıcı depolama mekanizmalarını sabote etme şeklinde yapılandırılmış olmasıdır.
xuxingfeng adı altında bazı meşru paketler listeleyen tehdit aktörü, güven oluşturmayı başarmış ve bu sayede tespit edilmenin önüne geçmeyi hedeflemiştir. Ancak sabit tarihlere dayalı olarak tehlikenin geçmişte kalmış olmasına rağmen, bu paketlerin kaldırılması son derece önemlidir. Zira, yazarları gelecek güncellemelerle silme işlevlerini tekrar tetikleyebilir.
Sonuç Olarak Güvenlik Önlemleri
NPM indeksinde ortaya çıkan bu tür kötü amaçlı paketler, yazılım geliştiriciler için büyük bir tehdit oluşturmaktadır. Özellikle yeni başlayan geliştiricilerin güvenilir kaynaklardan indirilmeyen paketlerden kaçınması gerekmektedir. Bu tür tehditlerin önüne geçmek için, geliştirme sürecinde dikkatli olmak, her zaman güncel güvenlik bilgilerini takip etmek ve yüklenen paketleri düzenli olarak kontrol etmek oldukça önemlidir.
Sistem temizliği ve güvenliği sağlanmadığı takdirde, bu tür kötü amaçlı yazılımlar, daha büyük sorunlara yol açabilir. Geliştiricilerin, NPM gibi platformlarda dikkat ederek hareket etmeleri ve güvenlik açıklarını minimize etmeleri gerekmektedir.
