NPM Paketleriyle Gerçekleşen Dolandırıcılık: Adspect Cloaking Teknolojisi
Giriş
Son dönemde siber güvenlik araştırmacıları, yedi adet npm paketinin kötü niyetli bir aktör tarafından yayımlandığını belirledi. Bu paketler, Adspect adlı bir cloaking servisi kullanarak gerçek mağdurları güvenlik araştırmacılarından ayırmayı başarılı bir şekilde sağlıyor. Amaçları ise kullanıcıları ikna edici kripto temalı sahte web sitelerine yönlendirmek.
Adspect ve Kötü Amaçlı NPM Paketleri
Kötü niyetli npm paketleri, “dino_reborn” adı altında 2025 Eylül ile Kasım aylarında yayımlandı ve şu an bu npm hesabı aktif değil. Yayınlanan paketlerin listesi aşağıdaki gibidir:
- signals-embed (342 indirme)
- dsidospsodlks (184 indirme)
- applicationooks21 (340 indirme)
- application-phskck (199 indirme)
- integrator-filescrypt2025 (199 indirme)
- integrator-2829 (276 indirme)
- integrator-2830 (290 indirme)
Bu paketlerden altısı, sistem parmak izleri yakalayan 39 KB boyutunda kötü amaçlı yazılım içeriyor ve geliştirici araçlarını engelleyerek güvenlik araştırmacılarının kaynak kodunu incelemesini zorlaştırıyor.
Nasıl Çalışıyor?
Paketlerden birine eriştiğinizde, ziyaretçi olup olmadığınız belirleniyor. Eğer bir mağdursanız, sahte bir CAPTCHA ile karşılaşacaksınız ve bu süreç sizi kötü amaçlı bir web sitesine yönlendiriyor. Ancak güvenlik araştırmacısı iseniz, yalnızca birkaç belirti bu web sitesinin güvenilir olmadığını düşündürecek.
Kötü amaçlı kod, Javascript’teki “Immediately Invoked Function Expression (IIFE)” özelliğini kullanarak, sayfanın yüklenmesi ile birlikte hemen çalışıyor. Bu, kullanıcının herhangi bir etkileşimde bulunmadan zararlı kodun çalıştırılabilmesini sağlıyor.
Verilerin Toplanması ve Yönlendirme
Kötü niyetli paketler, elde edilen bilgileri bir proxy sunucusuna gönderiyor. Proxy, trafiğin kaynağının bir mağdur mu yoksa bir araştırmacı mı olduğunu belirliyor. Eğer mağdursanız ve sahte CAPTCHA’yı tıklarsanız, sizi kripto paralar ile ilgili sahte bir web sitesine yönlendiriyor. Bu tür siteler genellikle dijital varlıkların çalınmasını hedefliyor.
Eğer ziyaretçiler araştırmacı olarak flaglanırsa, onlara beyaz bir sahte sayfa gösteriliyor. Bu, sahte bir şirket olan Offlido ile ilişkili HTML kodlarını içeriyor ve böylece araştırmacıların şüphelenmesi önleniyor.
Adspect’in Rolü
Adspect, kötü niyetli aktörler için vazgeçilmez bir hizmet sunuyor. Hizmet, reklam kampanyalarını istenmeyen trafikten koruma iddiasında bulunuyor ve kural tanımayan bir politika ile çalıştığını öne sürüyor. Geliştiricilere sunduğu “bulletproof cloaking” özelliği, her reklam platformunu etkili bir şekilde gizlemeye yardımcı oluyor.
Bu tür cloaking teknolojisinin npm gibi kaynaklarda bulunması alışılmadık bir durum. Yakın zamana kadar nadir görülen bu durum, siber suçluların açık kaynak dağıtımı ile trafiği gizleyerek saldırılarını daha sofistike hale getirmelerine olanak tanıyor.
Sonuç
Siber güvenliğin sürekli olarak geliştiği günümüzde, geliştiricilerin kullandıkları paketlerdeki potansiyel tehditlere dikkat etmesi büyük bir önem taşıyor. Adspect cloaking teknolojisi gibi yöntemler, dolandırıcıların yollarını daha karmaşık hale getiriyor ve bu nedenle kullanıcıların bilgi güvenliği konusunda daha bilinçli olmaları gerekiyor. Unutmayın, sahtecilik ve dolandırıcılık her zaman bir adım ötededir.
