Gündem

Kuzey Kore bağlantılı npm paketleri, geliştirici verilerini çalmak için Rollup araçlarını taklit ediyor

Kuzey Kore bağlantılı siber tehdit aktörleri, popüler Rollup araçlarını taklit eden iki aşamalı zararlı npm paketleriyle geliştiricilerin yapay zeka, bulut ve kripto cüzdan anahtarlarını hedef alıyor.

Kuzey Kore bağlantılı npm paketleri, geliştirici verilerini çalmak için Rollup araçlarını taklit ediyor

Kuzey Kore bağlantılı siber tehdit aktörleri, geliştirici cihazlarına uzaktan erişim sağlamak ve hassas verileri çalmak amacıyla meşru Rollup araçlarını taklit eden yeni bir zararlı npm paketi dalgası başlattı. Güvenlik kuruluşu JFrog tarafından tespit edilen "rollup-packages-polyfill-core" ve "rollup-runtime-polyfill-core" gibi paketlerin, bağımlılık incelemelerini atlatmak için orijinal projelerin meta verilerini kopyaladığı belirlendi.

Söz konusu saldırı dalgası, iki aşamalı bir mimariyle çalışıyor. İlk aşamada Rollup eklentisi gibi görünen paketler, arka planda gizlice veri hırsızlığı kodlarını barındıran ikinci aşama paketleri indiriyor. Geliştirilen JavaScript kodları; bulut geliştirme ortamlarını, sanal korumalı alanları (sandbox) ve sunucusuz (serverless) çalışma zamanlarını tespit ederek buralarda çalışmayı durduruyor. Analiz altyapılarını atlatan zararlı yazılım, harici bir sunucudan şifreli bir komut dosyası çekiyor.

Deşifre edilen bu nihai yük, ekran görüntüsü alma, komut çalıştırma, fare ve klavye hareketlerini otonom kontrol etmenin yanı sıra kripto para cüzdanlarını, tarayıcı verilerini ve özellikle Microsoft Visual Studio Code, Windsurf ile Cursor gibi yapay zeka destekli kod editörlerinin geçmiş dosyalarını hedef alıyor. Ayrıca sistemdeki AWS, Microsoft Azure, Google Gemini ve Anthropic Claude gibi bulut ve yapay zeka araçlarının yapılandırma dosyaları da ele geçiriliyor.

tedarik zinciri saldırılarında küresel artış

Bu gelişmeyle eş zamanlı olarak Checkmarx, SafeDep ve AWS güvenlik araştırmacıları tarafından açık kaynaklı yazılım depolarını zehirlemeyi amaçlayan başka büyük operasyonlar da raporlandı. Bunlar arasında, sunucuların tam kontrolünü ele geçiren "Operation Navy Ghost" adlı sahte PyPI eklentileri, Polymarket araçlarını taklit ederek merkeziyetsiz finans (DeFi) geliştiricilerini hedef alan veri hırsızları ve statik tarama araçlarını atlatmak için zararlı kodları GitHub alt bağımlılıklarına gizleyen "o3forms" paketleri yer alıyor.

yazılım tedarik zinciri ve geliştirici odaklı casusluk

Kuzey Kore bağlantılı devlet destekli siber yapıların doğrudan yazılım geliştiricilerin bilgisayarlarını ve CI/CD süreçlerini hedef alması, modern siber istihbarat operasyonlarının yeni odak noktasını gösteriyor. Geliştirici cihazlarında saklanan AWS, Azure, Google Gemini ve Anthropic Claude gibi bulut altyapısı ile yapay zeka araçlarına ait gizli anahtarların (token/secret) çalınması, stratejik kurumsal ağlara sızma eylemleri için birer basamak olarak kullanılıyor. Ayrıca kripto cüzdan hırsızlığı bileşenleri, küresel finansal yaptırımları siber paralar yoluyla delme stratejisinin otonom siber silahlara entegre edildiğini kanıtlıyor.

çift aşamalı statik analiz bypass yöntemleri Tehdit aktörlerinin saldırıyı iki aşamaya bölmesi ve zararlı kodları doğrudan npm kayıt defteri yerine GitHub'a sabitlenmiş harici bağımlılıklar üzerinden çalıştırması, endüstri standardı siber güvenlik tarayıcılarını (static application security testing - SAST) tamamen işlevsiz kılmayı amaçlıyor. Geliştirici ekosisteminde Cursor ve Windsurf gibi yeni nesil yapay zeka editörlerinin kullanım geçmişinin ve yerel yapılandırma dosyalarının (Zsh geçmişi, .env, SSH anahtarları) hedef alınması, saldırganların kurban profillerindeki teknolojik dönüşümü son derece yakından takip ettiğini gösteriyor.

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge