RubyGems Ekosisteminde Tehditler
Son dönemde, RubyGems ekosisteminde 60 adet zararlı paketin keşfedildiği bildirilmektedir. Bu paketler, sosyal medya, blog yazımı ve mesajlaşma hizmetleri için masum otomasyon araçları olarak görünmekte ve bu sayede kullanıcıların kimlik bilgilerini çalmayı hedeflemektedir. Güvenlik araştırma şirketi Socket’ın verilerine göre, bu zararlı yazılımlar Mart 2023’ten bu yana aktif durumda ve toplamda 275,000 kez indirilmiştir.
İndirme sayıları, aslında ne kadar sistemin tehdit altında olduğunu yansıtmayabilir. Çünkü her indirme, uygulama anlamına gelmediğinden, bazı kullanıcıların bu paketleri birden fazla sistemde indirmesi söz konusu olabilir.
Zararlı Yazılımın İşleyişi
Araştırmalara göre, “zon”, “nowon”, “kwonsoonje” ve “soonje” takma adlarını kullanan bir tehdit aktörü tarafından yayımlanan bu zararlı paketler, özellikle Instagram, Twitter/X, TikTok, WordPress, Telegram, Kakao, ve Naver gibi platformlar için otomasyon araçları olarak pazarlanmaktadır. Bu paketler, kullanıcılara çoklu paylaşım yapma veya etkileşim sağlama gibi işlevler sunarken, aynı zamanda gizli bir işlevsellik barındırmaktadır. Kullanıcılar, basit bir grafik kullanıcı arayüzü ile kimlik bilgilerini girmekte ve bu bilgiler dışarıdaki bir sunucuya aktarılmaktadır.
Njongto_duo ve jongmogtolon gibi bazı paketler, yatırım platformlarında etkilidir. Bu kütüphaneler, yatırım ile ilgili forumlarda etkileşimi artırmak amacıyla ticker ve hisse senedi anlatıları ile sahte etkileşim sağlamayı hedeflemektedir. Elde edilen bilgileri barındıran sunucular arasında programzon[.]com, appspace[.]kr ve marketingduo[.]co[.]kr gibi domainler bulunmaktadır. Bu alan adları, toplu mesaj gönderimi, telefon numarası kazıma ve otomatik sosyal medya araçları gibi hizmetler sunmaktadır.
Hedef Kitle
Bu kampanyanın kurbanları, genellikle otomasyon araçlarına güvenen ve bu tür hizmetler üzerinden spam, arama motoru optimizasyonu (SEO) ve etkileşim kampanyaları yürüten gri şapkalı pazarlamacılardır. Socket tarafından yapılan açıklamalara göre, her bir zararlı paket, öncelikle Güney Kore kullanıcılarını hedef alan bir Windows bilgilendirici casus yazılımı olarak işlev göstermektedir. Korece kullanıcı arayüzleri ve .kr alanına veri aktarımları bu durumu desteklemektedir. Kampanya, çeşitli takma adlar ve altyapı dalgaları aracılığıyla evrim geçirerek, olgun ve kalıcı bir operasyon haline gelmiştir.
Tehdit aktörünün, otomasyon odaklı gri şapkalı kullanıcılara pazarlanan paketlere kimlik bilgisi çalma işlevselliği entegre etmesi, hassas verileri gizlice yakalamasına ve meşru etkinliklerle harmanlayarak geniş bir kitleye ulaşmasına olanak tanımaktadır.
Python Paketlerinde Yeni Tehditler
Bu gelişmeler, GitLab’ın Python Paket İndeksi’nden (PyPI) kötü niyetli paketler tespit etmesiyle karşımıza çıkmaktadır. Bu paketler, Bittensor cüzdanlarından kripto para çalmak amacıyla mevcut staking fonksiyonlarını ele geçirmeyi planlamaktadır. Python kütüphaneleri arasında bitensor ve bittenso-cli gibi isimler dikkat çekmektedir.
GitLab’ın Vulnerability Research ekibi, saldırganların belirli bir mantıkla staking operasyonlarını hedef aldığını belirtmektedir. Meşru görünen staking işlevinin içine gizlenmiş zararlı kodlar, blockchain işlemlerinin teknik gereksinimlerini ve kullanıcı psikolojisini istismar etmektedir.
PyPI üzerinde yapılan yeni kısıtlamalar, Python paketlerinin yüklenmesi sırasında kafa karışıklığına yol açan saldırılara karşı bir güvenlik önlemi olarak uygulanmıştır. PyPI, ZIP parser uygulamalarından kaynaklanan bu sorunları önlemek amacıyla, kötü niyetli içerik taşıdığı düşünülen paketleri reddedeceğini bildirmiştir. Python Yazılım Vakfı’nın (PSF) sözcüsü Seth Michael Larson, bu tür sorunların meydana geldiğini ve çözüm yollarının araştırıldığını ifade etmiştir.
Geliştiricilerden Kaynak Bulma Ekibi, bu kısıtlamaların devreye girmesi sayesinde kullanıcıların zararlı yazılımlar konusunda daha güvenli bir deneyim yaşayacaklarını ummaktadır. 2026 yılının Şubat ayından itibaren, belirli koşullar altında kullanıcıların yükledikleri paketlerin önemli değişiklikler içermesi durumunda reddedileceği de vurgulanmıştır.
Sonuç olarak, hem RubyGems hem de Python ekosistemlerinde ortaya çıkan bu tehditler, geliştiricilerin ve kullanıcıların dikkatli olmaları gerektiğini göstermektedir. Güvenlik önlemleri ve bilinçli yazılım seçimleri, bu tür saldırılara karşı en etkili savunma yöntemleri arasında yer almaktadır.
