Gelişen Siber Tehditler ve Yazılım Güvenliği
Son yıllarda, siber güvenlik alanında önemli gelişmeler yaşandı. Özellikle, yazılım geliştirme süreçlerinde kullanılan açık kaynaklı kütüphanelerle birlikte bu alandaki riskler de artmaktadır. Son zamanlarda ortaya çıkan bazı zararlı yazılımlar, geliştiricilerin projelerine yanlışlıkla entegre edebileceği tehditler arasında yer almaktadır. Bu yazıda, bu tür tehditlerin neler olduğuna ve nasıl önlenebileceğine dair detaylı bilgilere ulaşacaksınız.
Go Paketleri Üzerinden Dağıtılan Tehditler
Siber güvenlik araştırmacıları, 11 farklı zararlı Go paketinin keşfedildiğini açıkladılar. Bu paketler, hem Windows hem de Linux sistemlerinde ek dosyalar indirmek ve çalıştırmak üzere tasarlanmıştır. Bu paketlerin çalışma mantığı, silah sesi gibi arka planda çalışan bir kodun doğrudan sunuculardan ikinci aşama zararlı yazılımları alıp çalıştırmasıdır.
Bu paketler arasında şu bağlantılar bulunmaktadır:
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/TNSR_IDS
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
Bu paketlerin içinde gizli bir yükleyici bulunmaktadır. Bu yükleyici, ikinci aşama ELF ve portable executable (PE) ikili dosyalarını indirme işlevine sahiptir. Bu dosyalar, sistem bilgilerini toplamanın yanı sıra, web tarayıcı verilerine erişim sağlayarak komuta kontrol (C2) sunucusuna geri bildirimde bulunur.
Tehditlerin Kapsamı ve Geliştirici Kaçaklıkları
Siber güvenlik uzmanı Olivia Brown, bu durumun karmaşıklığını şu şekilde ifade etmektedir: “İkinci aşama zararlı yazılım, Linux sistemleri için bir bash script yükü sunmakta ve Windows için ise certutil.exe aracılığıyla çalışmaktadır. Bu durum, hem Linux geliştirme sunucularını hem de Windows iş istasyonlarını tehlikeye atmaktadır.”
Ayrıca, Go ekosisteminin desantralize yapısı, geliştiricilerin sıkça karşılaştığı bir diğer zorluktur. Bu yapıda, paketler doğrudan GitHub depolarından import edilebildiğinden, pkg.go.dev’de yapılan aramalarda benzer isimde birden fazla modül bulunabilir. Bu durum, geliştiricilerin, zararlı yazılımlar içeren bir paketi istemeden projelerine dahil etme olasılığını artırmaktadır.
NPM Paketleri ve Uzaktan Silme Özellikleri
Son günlerde keşfedilen bir diğer risk ise, naya-flore ve nvlore-hsc adında iki npm paketidir. Bu paketler, WhatsApp soket kütüphaneleri olarak kendilerini tanıtmaktadır. Ancak, bu paketlerde, yazılımcıların sistemlerini uzaktan silme yeteneğine sahip bir telefon numarası bazlı kill switch bulmaktadır. Bu paketler, 1,110‘dan fazla indirme sayısına ulaştı ve hala npm registrisinde mevcut.
Bu paketlerin özellikleri arasında, uzaktan bir veritabanından Endonezya telefon numaralarını alarak, mevcut telefon numarasını kontrol etme ve listeye dahil olmayan telefonları silme işlemi bulunmaktadır.
Güvenlik Önlemleri ve Uyarılar
Araştırmalar, açık kaynaklı kütüphanelerin yazılım tedarik zincirinde malware dağıtımı için hala cazip bir kanalı temsil ettiğini gösteriyor. Bu paketler, kullanıcıların hassas verilerini çalmayı hedeflemekte ve hatta bazı durumlarda kripto para cüzdanlarına bile göz dikebilmektedir. Fortinet FortiGuard Labs, “Saldırganlar, elimizdeki en iyi tekniklere dayalı olarak devamlı değişen stratejiler izlemektedir” demektedir.
Yazılımcılar, iş süreçlerinde, yazılım güncellemelerini dikkatlice incelemeli ve bilinmeyen paketlerden kaçınmalı. Ayrıca, düzenli olarak sistemlerini izlemeleri ve güvenlik yazılımlarını güncel tutmaları önerilmektedir. Bunun yanı sıra, açık kaynak projelerde katılımcıların sorumluluğu büyük önem taşımaktadır. Kütüphanelerin güvenliğini sağlamak için, topluluk içinde iş birliği ve bilgi paylaşımı teşvik edilmelidir.
Eğer bu gibi tehditlere karşı dikkatli olursanız, projenizin güvenliğini artırabilir ve zararlı yazılımların sistemlerinize sızmasını büyük ölçüde engelleyebilirsiniz.
