Hackerlar, haftalık 2 milyardan fazla indirmeye sahip açık kaynak kodlu yazılım paketlerine kötü amaçlı kod yerleştirerek, tarihin en büyük tedarik zinciri saldırılarından birini gerçekleştirdi. Bu saldırı, npm deposunda barındırılan yaklaşık iki düzine paketi etkiledi.
Saldırı, geliştiricilerden birinin, hesabının kapatılacağı ve iki faktörlü kimlik doğrulama bilgilerini güncellemesi gerektiği yönündeki sahte bir e-postaya inanmasıyla ortaya çıktı. Kısa süre sonra, etkilenen paketlere güncellemeler iletilerek, kripto para birimi transferlerini saldırganların kontrolündeki cüzdanlara yönlendiren kötü amaçlı kod eklendi.
Saldırıdan etkilenen ve en son sayımda 20'yi bulan paketler, JavaScript ekosisteminin temelini oluşturan önemli kodları içeriyor. Bu paketler hem doğrudan kullanılıyor hem de binlerce başka paket tarafından bağımlılık olarak kullanılıyor.
Güvenlik firması Socket'in araştırmacıları, bu olayın "etki alanını önemli ölçüde artırdığını" belirtti. Saldırganların, dolaylı olarak sayısız uygulama, kütüphane ve çerçeve tarafından kullanılan paketlerin kötü amaçlı sürümlerini yayınlama yeteneği kazandığı vurgulandı. Araştırmacılar, saldırının "ekosistemdeki erişimi en üst düzeye çıkarmak için tasarlanmış hedefe yönelik bir saldırı" olduğunu ekledi.
Kullanıcıları kandırmak için kullanılan e-posta adresi, npm'in resmi web sitesini taklit eden ve üç gün önce oluşturulmuş bir alan adından geliyordu. Saldırganlar, bu yolla elde ettikleri kimlik bilgileriyle paketlere kötü amaçlı kod enjekte etti.
Güvenlik firması Akido'nun analizine göre, kötü amaçlı kod etkilenen sistemlerin web tarayıcısına enjekte olarak Ethereum, Bitcoin, Solana, Tron, Litecoin ve Bitcoin Cash gibi kripto para birimi transferlerini izlemeye başlıyor. Bu tür işlemler tespit edildiğinde, paketler hedef cüzdan adreslerini saldırganların kontrolündeki adreslerle değiştiriyor. Zararlı yazılım, JavaScript fonksiyonlarını manipüle ederek çalışıyor.
Saldırıdan etkilenen bazı paketler arasında şunlar bulunuyor: backslash, chalk, color-convert, debug ve supports-color gibi sıkça kullanılan isimler yer alıyor.
Bu olay, açık kaynak dünyasını sarsarken, diğer kod depolarını da hedef alan iki ek tedarik zinciri saldırısı daha ortaya çıktı. Bir diğer saldırıda, PyPI, npm, DockerHUB, GitHub, Cloudflare ve Amazon Web Services hesaplarına ait 3.325 kimlik doğrulama sırrının ele geçirildiği açıklandı. Bu saldırıda, GitHub Actions iş akışlarına kötü amaçlı kod eklenerek kimlik doğrulama belirteçleri çalındı.
Ayrıca, kurumsal ortamlarda kullanılan açık kaynak kodlu bir derleme sistemi ve depo yönetim aracı olan Nx'i hedef alan bir saldırı da geçen ay GitHub kullanıcılarını etkiledi. Bu saldırıda, ele geçirilen kimlik bilgileriyle özel depolar herkese açık hale getirildi.
