Yazılım geliştiricilerin sıkça kullandığı açık kaynak paket depoları, ne yazık ki gizli tehditler barındırabiliyor. Yapılan son bir keşif, bu durumu bir kez daha gözler önüne serdi. NPM deposunda bulunan ve iki yıl boyunca tam 6.000'den fazla indirilen zararlı yazılımlar tespit edildi.
Güvenlik uzmanları tarafından belirlenen ve yaygın olarak kullanılan meşru paketlerin isimlerini taklit eden sekiz farklı paket, sistemleri çökertmek, önemli verileri bozmak veya silmek için tasarlanmış yıkıcı kodlar içeriyordu. Bu zararlı paketlerin iki yıldan uzun süredir indirilmeye açık olduğu ve bu süre zarfında yaklaşık 6.200 kez indirildiği belirtiliyor.
Çeşitli Saldırı Vektörleri Kullanıldı
Bu zararlı yazılım kampanyasını özellikle endişe verici kılan şey, saldırıların çeşitliliği oldu. Uzmanlar, saldırıların ince veri bozma işlemlerinden, agresif sistem kapatmalarına ve dosya silmelere kadar farklı taktikler içerdiğini vurguladı. Paketler, JavaScript ekosisteminin farklı bölümlerini çeşitli yöntemlerle hedef alacak şekilde tasarlanmıştı.
Kullanılan taktikler arasında şunlar yer alıyordu:
- Ön yüz kullanıcı arayüzleri ve web sayfası uygulamaları oluşturmak için kullanılan bir JavaScript çerçevesi olan Vue.js ile ilgili dosyaları hem Windows hem de Linux için yazılmış komutlarla silmek.
- Temel JavaScript fonksiyonlarını rastgele verilerle bozmak.
- Gelişmiş üç dosyalı bir saldırı ile tüm tarayıcı depolama mekanizmalarını bozarak "kimlik doğrulama tokenlarını, kullanıcı tercihlerini, alışveriş sepetlerini ve uygulama durumunu kırmak, sayfa yenilemelerine rağmen devam eden, teşhisi zor aralıklı hatalar oluşturmak".
- Vue.js çerçeve dosyalarını silen ve sistemin kapanmasını zorlayan "Çok Fazlı Sistem Saldırıları".
Zararlı kodların bazıları yalnızca 2023'teki belirli tarihlerde çalışacak şekilde sınırlandırılmıştı. Ancak bazı durumlarda, Temmuz 2023'te başlaması planlanan bir aşama için sonlandırma tarihi belirlenmemişti. Güvenlik uzmanları, bu durumun tehdidin kalıcı olabileceği anlamına geldiğini belirtiyor. Normal paket kullanımını takip eden herhangi bir geliştiricinin, belirtilen aktivasyon tarihlerinin (Haziran 2023 – Ağustos 2024) geçmiş olması nedeniyle bugün bu paketleri kullanması durumunda sistem kapatmalar, dosya silme ve JavaScript bozulması gibi yıkıcı sonuçlarla anında karşılaşabileceği uyarısı yapıldı.
İlginç bir şekilde, zararlı paketleri yükleyen kullanıcının, aynı zamanda kötü niyetli işlevler içermeyen çalışan paketler de yüklediği görüldü. Hem zararlı hem de kullanışlı paketleri yükleme yaklaşımının, zararlı paketlerin fark edilmeme olasılığını artıran bir "meşruiyet maskesi" oluşturduğu düşünülüyor.
Tespit edilen zararlı paketler, React, Vue ve Vite dahil olmak üzere en büyük JavaScript geliştirici ekosistemlerinin kullanıcılarını hedef alıyordu. Belirlenen sekiz zararlı paket şunlardı:
- js-bomb
- js-hood
- vite-plugin-bomb-extend
- vite-plugin-bomb
- vite-plugin-react-extend
- vite-plugin-vue-extend
- vue-plugin-bomb
- quill-image-downloader
Bu paketlerden herhangi birini yüklemiş olan geliştiricilerin, sistemlerini dikkatlice incelemeleri ve zararlı yazılımların artık çalışmadığından emin olmaları büyük önem taşıyor. Bu paketler, meşru geliştirme araçlarını mükemmel şekilde taklit ettiği için uzun süre fark edilmemiş olabilirler.
