Kuzey Kore’nin Yeni Tehdit Dalgası: İş Arayanlar Hedefte
Kuzey Kore, son dönemlerde iş arayanları hedef alan yeni bir kampanya başlattı. Bu kampanyada, kötü niyetli npm paketleri kullanılarak geliştiricilerin cihazlarına bilgi çalan yazılımlar ve arka kapılar yükleniyor. Socket Threat Research tarafından tespit edilen bu paketler, maliyetli siber saldırıların nasıl gerçekleştirildiğine dair önemli veriler sunuyor.
NPM Paketleri ve Tehditler
Yapılan araştırmalarda, Kuzey Koreli aktörler tarafından 24 farklı hesap üzerinden 35 adet kötü amaçlı npm paketinin gönderildiği tespit edildi. Bu paketlerin toplamda 4,000’den fazla kez indirildiği belirtiliyor ve altı tanesi yazının yazıldığı an itibarıyla hâlâ erişilebilir durumda. Bu paketler, genellikle tanınmış ve güvenilir kütüphaneleri taklit eden typosquatting yöntemleriyle kullanıcıları kandırarak tehlikeli hale geliyor.
Öne çıkan bazı kötü niyetli npm paketleri şunlardır:
- react-plaid-sdk
- vite-plugin-next-refresh
- node-orm-mongoose
- chalk-config
- framer-motion-ext
Bu paketlerden bazıları, popüler kütüphanelerle karıştırılmak üzere tasarlanmış olup, iş arayan geliştiricileri mağdur etme potansiyeline sahiptir.
Sosyal Mühendislik Taktikleri
Kuzey Koreli siber aktörler, LinkedIn üzerinden işe alım uzmanı olarak davranarak yazılımcılara ulaşmakta. Geliştiricilere, test projelerinde çalışmaları için iş teklifleri sunarak bu kötü niyetli paketleri indirmeleri için yönlendiriyorlar. Socket’in raporlarına göre, “Kod görevleri” içeren bu belgeler genellikle Google Dokümanlar üzerinden gönderiliyor ve buralarda kötü amaçlı kodlar gizleniyor.
Hedefe Ulaşma Süreci
Bu kötü niyetli yazılımlar, Bitbucket üzerinde saklanan ve meşru testler olarak disguise edilen projelerde barınıyor. İlk adımda, npm paketleri içinde gizli olarak bulunan HexEval Loader devreye giriyor. Bu yazılım, kullanıcının cihazının parmak izini alıyor, tehdit aktörünün komut ve kontrol (C2) sunucusuyla bağlantı kuruyor ve eval() fonksiyonunu kullanarak ikinci aşama yazılımı olan BeaverTail‘i indirip çalıştırıyor.
Bilgi Çalma ve Arka Kapılar
BeaverTail, çok platformlu bir bilgi çalan yazılım ve kötü amaçlı yükleyicidir. Bu yazılım, tarayıcı verilerini, şifreleri ve kripto para cüzdanlarını çalarak üçüncü aşama olan InvisibleFerret‘i yükler. InvisibleFerret, bir ZIP dosyası olarak dağıtılan bir arka kapı yazılımıdır ve saldırganlara, mağdurun sistemine derinlemesine erişim sağlamakta. Bu yazılım, uzaktan kontrol, dosya hırsızlığı ve ekran görüntüsü alma yetenekleri sunmaktadır.
Gerçek Zamanlı İzleme ve Veri Sızdırma
Son olarak, saldırganlar, düşük seviye giriş olaylarına bağlanan ve gerçek zamanlı gözetim ile veri sızdırma işlemleri gerçekleştiren bir keylogger aracı bırakıyor. Bu keylogger, kampanya kapsamında kullanılan npm takma adlarından yalnızca biriyle ilişkilendirilmiştir, bu nedenle sadece belirli yüksek değerli hedeflerde kullanılması planlanıyor.
Öneriler ve Dikkat Edilmesi Gerekenler
Yazılım geliştiricileri, uzaktan çalışma alanında gelir getirici teklifler aldıklarında dikkatli olmalıdır. Bilinmeyen kodların her zaman kapsayıcılar veya sanallaştırma makineleri içinde çalıştırılması önerilir. Bu tür tehditler, halihazırda Mart 2023’te Kuzey Koreli Lazarus grubu tarafından da gözlemlenmiş olup, bu tarz kötü niyetli paketlerin devam eden bir risk oluşturduğunu göstermektedir.
Sonuç olarak, bu tür siber tehditlerle karşılaşmamak için kullanıcıların dikkatli olmaları ve güvenlik önlemlerini almaları şarttır. Özellikle yazılım geliştiricileri, iş başvurusu için gelen teklifler karşısında daha uyanık olmalı, özel bilgilerini korumak için gerekli tedbirleri almalıdır.
