Teknolojinin kalbi sayılan JavaScript ekosisteminde, haftalık milyarlarca indirmeye sahip 18 adet paket, tarihin en büyük tedarik zinciri saldırılarından birine maruz kaldı. Saldırı, yazılımlara gizlice enjekte edilen zararlı kodlarla kripto para birimlerini çalmayı hedefliyordu.
Bu gelişme, modern yazılım geliştirmenin ne kadar kırılgan olabileceğini gözler önüne serdi. Saldırganların, popüler paketlerin yöneticilerini kolayca manipüle edip, zararlı kodları dağıtabilmesi, endişe verici bir tablo çiziyor. Neyse ki, bu kez odak noktası felaket yaratmak yerine finansal kazanç oldu.
Güvenlik araştırmacıları tarafından ortaya çıkarılan bu olayda, etkilenen paketlere eklenen zararlı kod, kullanıcının tarayıcısındaki kripto para ve Web3 aktivitelerini sessizce takip ediyordu. Bu kodlar, cüzdan etkileşimlerini bozarak ve ödeme hedeflerini değiştirerek, fonların ve onayların kullanıcıların fark edemeyeceği şekilde saldırganların kontrolündeki hesaplara yönlendirilmesini sağlıyordu.
npm üzerinden dağıtılan bu paketlerin haftalık indirme sayısı yaklaşık 2 milyar. Bu, teorik olarak saldırganların bu paketleri kullanarak istedikleri her şeyi yapabilecekleri anlamına geliyor. Ancak önceliklerinin Ethereum, Bitcoin, Solana, Tron, Litecoin ve Bitcoin Cash gibi kripto para birimlerini çalmak olduğu belirtiliyor.
Bu zararlı paketlerin ne kadar yayıldığı tam olarak bilinmiyor. Ancak yazılım geliştirme süreçlerinde bağımlılıkların sürekli olarak çekilip yeniden çekilmesi nedeniyle, bu paketlerin popülerliğinin ve yayılma potansiyelinin yüksek olduğu aşikar. Bu paketlere bağımlı yazılımlar kullanan kuruluşların, zararlı sürümleri kullanmadıklarından emin olmaları büyük önem taşıyor.
Saldırının sofistike bir teknikle mi yapıldığı sorusu da yanıt buluyor: Hayır. Paketlerin yöneticisinin, çok güvenilir görünen bir kimlik avı e-postasıyla iki faktörlü kimlik doğrulama sıfırlama bağlantısına tıklamasıyla bu duruma yol açtığı belirtiliyor. Yani, bu denli büyük bir saldırının anahtarı basit bir alan adı, bir e-posta ve deneme isteği oldu.
Bu tür tedarik zinciri saldırıları yeni bir sorun değil. Uzun yıllardır JavaScript, Python, Ruby ve Java gibi dillerin paket yöneticileri hedef alınıyor. 2016'daki meşhur 'left-pad' olayı da, az satır kodun bile ne kadar kritik olabileceğini ve interneti nasıl 'kırabileceğini' göstermişti.
Sektör, bu sorunu çözmek için yazılım malzeme listeleri (SBOM) kullanımını teşvik etmek, yaygın olarak kullanılan paketlerin yöneticilerinin hesaplarını iki faktörlü kimlik doğrulama ile güvence altına almalarını istemek gibi adımlar atıyor. Ancak bu son olay, mevcut önlemlerin yetersiz kaldığını kanıtlıyor. Yazılım geliştirme, bakım ve yayınlama süreçleri kökten değişmedikçe, benzer sorunların devam edeceği öngörülüyor.
Bu kez 'Sonsuzluk Eldiveni' kripto para çalmak için kullanıldı. Peki ya bir sonraki seferinde niyeti daha yıkıcı olursa? Teknoloji dünyası, bu tehlikenin önüne geçebilecek bir çözüm bulana kadar, sürekli bir endişe içinde yaşamak zorunda kalacak.
