PhantomRaven Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, npm ekosistemini hedef alan oldukça aktif bir yazılım tedarik zinciri saldırısı tespit etti. Kimlik doğrulama belirteçleri, CI/CD sırları ve GitHub kimlik bilgileri de dahil olmak üzere hassas geliştirici kimlik bilgilerini doğrudan ele geçirilmiş makinelerden çalabilen 100'den fazla kötü amaçlı paket tespit edildi.
PhantomRaven kod adlı kampanya ilk olarak Ağustos 2025'te ortaya çıktı. O tarihten bu yana 126 npm kütüphanesine genişledi ve 86.000'den fazla kuruluma ulaştı; bu da bu kötü amaçlı paketlerin hızla yayıldığını ve benimsendiğini gösteriyor.
İçindekiler
Radar Altında Uçan Kötü Amaçlı Paketler
İşaretlenen paketlerden bazıları şunlardır:
- op-cli-installer – 486 indirme
- kullanılmayan ithalatlar – 1.350 indirme
- badgekit-api-client – 483 indirme
- polyfill-corejs3 – 475 indirme
- eslint-yorumları – 936 indirme
PhantomRaven'ı özellikle sinsi kılan şey, Uzak Dinamik Bağımlılıklar (RDD'ler) kullanmasıdır. Kötü amaçlı paketler, resmi npm kayıt defterinden kod almak yerine, özel bir HTTP URL'sine (packages.storeartifact.com) işaret eder. Bu, npm'nin güvenilmeyen bir harici kaynaktan bağımlılıkları almasına ve npmjs.com korumalarını etkin bir şekilde atlatmasına olanak tanır.
Geleneksel güvenlik tarayıcıları ve bağımlılık analiz araçları bu RDD'leri tespit etmekte başarısız oluyor, çünkü otomatik sistemler paketleri '0 Bağımlılığa' sahip olarak görüyor.
Saldırı Nasıl Çalışır?
Saldırı zinciri, bir geliştiricinin görünüşte zararsız paketlerden birini kurmasıyla başlar. Temel unsurlar şunlardır:
Ön Kurulum Kancası Çalıştırma : Paket, ana yükü otomatik olarak çalıştıran bir ön kurulum yaşam döngüsü betiği içerir.
Uzaktan Yük Alma : Betik, saldırganın kontrolündeki sunucudan kötü amaçlı bağımlılığı alır.
Veri Sızdırma : Kötü amaçlı yazılım çalıştırıldığında, geliştiricinin ortamını e-posta adresleri açısından tarar, CI/CD ortamı ayrıntılarını toplar, sistemin parmak izini çıkarır (genel IP dahil) ve verileri uzak bir sunucuya gönderir.
Saldırgan, paket benimsendiğinde kötü amaçlı güncellemeleri göndermeden önce, başlangıçta tespit edilmekten kaçınmak için zararsız kod sunarak yükü istediği gibi değiştirebilir.
İnsan ve Yapay Zeka Kör Noktalarından Yararlanma
Paket adlarının seçimi kasıtlıdır. Tehdit aktörü, büyük dil modellerinin (LLM'ler) var olmayan ancak kulağa mantıklı gelen paket adlarını halüsinasyona uğrattığı slopsquatting olarak bilinen bir taktikten yararlanır. Geliştiriciler, gerçekçi adlandırmaları nedeniyle bu paketlere güvenebilir ve gizli tehdidin farkında olmayabilirler.
Araştırmacıların belirttiği gibi PhantomRaven, saldırganların giderek daha karmaşık hale geldiğini vurguluyor:
- Uzak Dinamik Bağımlılıklar statik analizden kaçınır.
- Yapay zeka tarafından üretilen paket adları geliştiricilerin güvenini suistimal ediyor.
- Yaşam döngüsü betikleri kullanıcı etkileşimi olmadan otomatik olarak yürütülür.
Bu kampanya, kötü niyetli kişilerin açık kaynaklı ekosistemlerde kod gizlemenin yeni yollarını bularak, geleneksel güvenlik araçlarındaki boşluklardan nasıl faydalandıklarını gözler önüne seriyor.
Npm Neden Birincil Hedeftir?
npm ekosisteminin paket yayınlama konusundaki düşük sürtünmesi ve ön kurulum, kurulum ve kurulum sonrası betiklerinin otomatik yürütülmesi, onu birincil hedef haline getirir. Saldırganlar, kötü amaçlı davranışları genellikle geliştiricinin bilgisi olmadan yaşam döngüsü betikleri içinde gizleyebilirler. Bu da modern geliştirme ortamlarında daha fazla dikkat ve sağlam güvenlik uygulamalarına ihtiyaç duyulduğunu göstermektedir.
