Kuzey Koreli Hackerlar NPM’e Sızdı: 67 Zararlı Paket Daha Yayınlandı!
Açık kaynak ekosistemini hedef alan siber saldırılar durmuyor. “Contagious Interview” adlı siber casusluk kampanyasıyla bilinen Kuzey Kore bağlantılı tehdit aktörleri, JavaScript geliştiricilerinin en önemli kaynağı olan npm kayıt defterine (registry) 67 yeni kötü amaçlı paket daha yükledi. Güvenlik firması Socket tarafından keşfedilen bu yeni saldırı dalgası, bilgisayar korsanlarının yazılım tedarik zincirini zehirleme konusundaki ısrarcı ve sürekli gelişen çabalarının son örneği oldu.
Toplamda 17.000’den fazla kez indirilen bu yeni paketler, daha önce belgelenmemiş XORIndex adında yeni bir zararlı yazılım yükleyicisi kullanıyor.
“Köstebek Vurmaca” Oyunu: Sürekli Gelişen Tehdit
Bu son saldırı, aynı grubun geçtiğimiz ay HexEval adlı başka bir yükleyiciyi kullanan 35 npm paketini dağıtmasının hemen ardından geldi. Socket araştırmacısı Kirill Boychenko, durumu bir “köstebek vurmaca (whack-a-mole)” oyununa benzetiyor:
“Savunmacılar kötü amaçlı paketleri tespit edip raporladıkça, Kuzey Koreli tehdit aktörleri aynı, benzer veya biraz daha geliştirilmiş oyun kitaplarını kullanarak hızla yeni varyantlar yüklüyor.”
Bu, tehdit aktörlerinin yakalandıklarında pes etmek yerine, taktiklerini sürekli olarak adapte edip saldırılarına devam ettiklerini gösteriyor.
Saldırı Zinciri: “Bulaşıcı Mülakat” Kampanyası
Bu saldırıların arkasındaki Contagious Interview (diğer adlarıyla DeceptiveDevelopment, Famous Chollima vb.) kampanyası, uzun süredir devam eden ve oldukça sofistike bir sosyal mühendislik taktiği kullanıyor.
- Hedef: Geliştiriciler.
- Yöntem: Saldırganlar, genellikle bir işe alım sürecinin parçasıymış gibi davranarak, hedefledikleri geliştiricilere sahte bir “kodlama ödevi” gönderiyorlar. Bu ödev, kurbanın kötü amaçlı bir açık kaynak projesini indirmesini ve çalıştırmasını gerektiriyor.
Bu kampanya, Pyongyang’ın, sahte kimliklerle ABD şirketlerine sızan uzaktan IT çalışanı şemasını tamamlayıcı bir faaliyet olarak görülüyor. Ancak bu kez, bir işe başvurmak yerine, halihazırda hedef şirketlerde çalışan geliştiricileri hedef alıyorlar.
Yeni Tehdit: XORIndex Yükleyicisi
Bu son saldırı dalgasında kullanılan npm paketleri, bilinen bir JavaScript yükleyicisi ve bilgi hırsızı olan BeaverTail‘i dağıtmak için bir kanal görevi görüyor. BeaverTail ise, web tarayıcılarından ve kripto para cüzdanlarından veri çalmak ve InvisibleFerret adında bir Python arka kapısını (backdoor) sisteme kurmak için kullanılıyor.
Yeni keşfedilen XORIndex Loader, tıpkı HexEval gibi, kurbanın makinesini profilleyerek IP adresi gibi bilgileri topluyor ve komuta-kontrol (C2) sunucusuna gönderdikten sonra BeaverTail’i indirip çalıştırıyor. Araştırmacılar, bu yükleyicinin zamanla basit bir prototipten, gelişmiş gizlenme ve keşif yeteneklerine sahip sofistike bir zararlı yazılıma evrildiğini de belirtiyor.
Tehdit Devam Edecek
Socket araştırmacısı Boychenko, Contagious Interview aktörlerinin gelecekte de saldırılarına devam edeceğini öngörüyor:
“Tehdit aktörleri, zararlı yazılım portföylerini çeşitlendirmeye, yeni npm geliştirici takma adları arasında geçiş yapmaya, HexEval Loader gibi yükleyicileri ve BeaverTail gibi zararlı yazılım ailelerini yeniden kullanmaya ve XORIndex Loader dahil olmak üzere yeni gözlemlenen varyantları aktif olarak dağıtmaya devam edecektir.”
Kuzey Koreli hackerların npm gibi kritik bir açık kaynak deposunu sürekli olarak hedef alması, yazılım tedarik zinciri güvenliğinin ne kadar büyük bir risk altında olduğunu bir kez daha kanıtlıyor. Geliştiricilerin, kullandıkları harici paketlerin güvenilirliğini doğrulaması ve şüpheli projelere karşı son derece dikkatli olması hayati önem taşıyor.
Siz bir geliştirici olarak, projenizde harici bir npm paketi kullanırken ne gibi güvenlik önlemleri alıyorsunuz? Açık kaynak ekosisteminin güvenliğini sağlamak için sizce kim daha fazla sorumluluk almalı: Platformlar mı, yoksa geliştiriciler mi? Düşüncelerinizi yorumlarda bizimle paylaşın!
En son yazılım tedarik zinciri saldırıları ve siber güvenlik tehditleri hakkındaki haberler için techneiro.com‘u takip etmeye devam edin!
