Açık kaynaklı kodlar BT endüstrisi için bulunmaz bir nimet. Tekrar eden genel kodları yazma ihtiyacını ortadan kaldırarak programcıların vakit kazanmasını ve ürünleri daha hızlı ve daha verimli şekilde oluşturabilmesini sağlıyorlar. Bu bilgi paylaşımını mümkün kılmaya yönelik depolar var. Bu depolar, tüm programcıların diğer insanların geliştirme süreçlerini hızlandırmak için kendi kodlarını içeren paketleri yayınlayabildiği açık platformlar.
BT topluluğunun sayısız ihtiyacına hizmet eden bu tür depolar web uygulamaları, mobil uygulamalar, akıllı cihazlar, robotlar gibi akla gelebilecek her türlü modern yazılımın geliştirilmesinde yaygın olarak kullanılıyor. En popüler paketler haftada milyonlarca defa indiriliyor ve pet projelerden bilinen teknoloji start-up’larına kadar birçok uygulamanın temelinde yer alıyor.
Bazı tahminlere göre modern web uygulamalarındaki kodların %97’si npm modüllerinden geliyor. Ancak popülerlikleri ve her paketin yüklenebilmesini sağlayan açıklıkları kaçınılmaz olarak siber suçluları da kendine çekiyor. Örneğin, 2021’de kimliği belirsiz saldırganlar popüler bir JavaScript kütüphanesi olan UAParser.js’nin bazı sürümlerine kötü amaçlı kod yerleştirerek güvenliğini ihlal etti. Bu kitaplık her hafta 6 ila 8 milyon defa indiriliyordu. Siber suçlular bu pakete virüs bulaştırarak kripto para madenciliği yapabilmenin yanı sıra, virüslü cihazlarda tarayıcı çerezi, parola ve işletim sistemi kimlik bilgileri gibi gizli bilgileri çalabilir hale geldi.
Daha yakın tarihli bir örnek vermemiz gerekirse 26 Haizran 2022’de araştırmacılarımız açık kaynaklı npm deposunda ortaya çıkan, LofyLife adını verdikleri yeni bir tehdit keşfetti.
Peki LofyLife nedir?
Açık kaynaklı depoları izlemek için dahili bir otomatik sistem kullanan araştırmacılarımız kötü amaçlı bir girişim olan LofyLife’ı tespit etti. Bu girişim, kurbanlardan Discord token’ları ve bağlı kredi kartlarının bilgilerini de içeren çeşitli bilgiler toplamak ve süreç içinde kurbanları gözetlemek için npm deposunda Volt Stealer ve Lofy Stealer kötü amaçlı yazılımlarını yayn dört kötü amaçlı paket kullanıyordu.
Tespit edilen kötü amaçlı paketler, başlıkları veya belirli oyun özelliklerini formatlamak gibi sıradan görevler için kullanılıyormuş gibi görünüyordu. Açıklamaları eksik olan paketler genel olarak saldırganlar tarafından pek özen gösterilmemiş gibi duruyordu. Bununla birlikte, ‘başlık formatlama’ paketinin Brezilya Portekizcesiyle yazılmış ve #brazil etiketine sahip olması, saldırganların Brezilya’daki kullanıcıları hedeflediğine işaret ediyordu. Diğer paketler İngilizce olarak sunulduğu için başka ülkelerden kullanıcıları da hedefliyor olabilirdi.
Ne var ki bu paketler, oldukça karmaşık kötü amaçlı JavaScript ve Python kodları içeriyordu. Bu da depoya yüklenirken analiz edilmelerini zorlaştırıyordu. Kötü amaçlı yük, Python ile yazılmış açık kaynaklı Volt Stealer adlı kötü amaçlı yazılımdan ve birçok özelliği olan Lofy Stealer adlı JavaScript kötü amaçlı yazılımından oluşuyordu.
Volt Stealer, virüslü cihazlardan Discord token’larını ve kurbanın IP adresini çalış HTTP üstünden yüklemek için kullanılıyordu. Saldırganlar için yeni bir gelişme olan Lofy Stealer ise Discord istemci dosyalarına virüs bulaştırabiliyor ve kurbanların eylemlerini izleyerek bir kullanıcının ne zaman giriş yaptığını, kayıtlı e-postayı veya parolayı değiştirdiğini, çok faktörlü kimlik doğrulamayı etkinleştirip devre dışı bıraktığını ve yeni ödeme yöntemleri eklediğini tespit edebiliyordu (yeni ödeme yöntemi eklenirse tüm kredi kartı bilgilerini de çalıyordu). Toplanan bilgileri ise uzaktaki bir uç noktaya yüklüyordu.
Kötü amaçlı paketlerden korunmanın yolları
Açık kaynaklı depolar herkesin kendi paketini yayınlamasına izin verir. BU paketlerin hepsi tamamen güvenli değildir. Örneğin, saldırganlar isimde birkaç harfi değiştirerek popüler npm paketlerini taklit edebilir, böylece kullanıcının gerçek paketi indirdiğini sanmasına sebep olabilirler. Bu yüzden dikkatli olmanızı ve her pakete güvenmemenizi öneriyoruz.
Geliştirme veya derleme ortamları genel olarak tedarik zinciri saldırıları düzenlemeye çalışan saldırganlar için işe yarar hedeflerdir. Bu da bu ortamların Kaspersky Hybrid Cloud Security gibi kötü amaçlı yazılım karşıtı koruma çözümlerini şiddetle gerektirdiği anlamına gelir. Ürünlerimiz LofyLife’ı HEUR:Trojan.Script.Lofy.gen ve Trojan.Python.Lofy.a kararlarıyla başarılı şekilde tespit etti.
Açık kaynaklı kodlar aracılığıyla yayılan yeni kötü amaçlı girişimlerden ilk haberdar olan kişilerden biri olmak istiyorsanız Tehdit İstihbaratı Portalı'nın da sunduğu türde tehdit istihbaratı akışlarına ve raporlara abone olun.