NPM JavaScript paketi dizininde, yararlı yardımcı programlar olarak maskelenen ancak gerçekte tüm uygulama dizinlerini silen yıkıcı veri silecekleri olan iki kötü amaçlı paket bulunmuştur.
Veri silecek paketleri 'Express-API-Sync' ve 'Sistem-Sağlık Senkronizasyonu-API'dır ve veritabanı senkronizasyonu ve sistem sağlığı izleme ttool'ları olarak poz verir.
Açık kaynaklı yazılım güvenlik firması soketine göre, her ikisi de enfekte olmuş ana bilgisayarda uzaktan veri açma işlemlerini sağlayan arka kapı içerir.
Paketler Mayıs 2025'te NPM'de yayınlandı ve Soket ile raporlarının ardından NPM'den kaldırıldı.
Firmanın tarihi istatistikleri, Express-API-Sync'in şüphesiz geliştiriciler tarafından 855 kez indirildiğini, Express-API-Sync'in 104 indirme olduğunu gösteriyor.
İlk paket, Express-api-sync, gizli bir son nokta (/api/this) kaydeder ve gizli anahtar 'varsayılan_123' içeren istekleri bekler.
Aldıktan sonra, uygulamanın dizininde "rm -rf *" yürütür ve tüm dosyaları siler.
"Tetiklendikten sonra, RM -RF * komutu, kaynak kodu, yapılandırma dosyaları, yüklenen varlıklar ve yerel veritabanları dahil olmak üzere tüm dosyaları silerek uygulamanın çalışma dizininde yürütülür."
"Son nokta, saldırgana durum mesajlarını ({" Mesaj ":" "Silinen tüm dosyalar"}) veya yıkımın başarısız olduğunu gösteren durum mesajlarını döndürür. "
İkinci paket, 'Sistem-Sağlık-Sync-api' daha sofistike.
Birden çok arka kapı uç noktasını kaydeder:
Bu durumda, gizli anahtar 'Helloworld', tetikleyici keşif ve ardından uzaktan, işletim sistemine özgü yıkımdır.
Silecek hem Linux ('rm -rf *') hem de Windows ('RD /S /Q') silme komutlarını destekler, bu nedenle tespit edilen mimariye bağlı olarak doğru olanı kullanır.
Eylem tamamlandıktan sonra, silecek saldırganı arka uç URL'si, sistem parmak izi ve dosya silme sonucuyla ‘anupm019@gmail.com’ adresine e -postayla gönderir.
Saldırgan ayrıca, yıkıcı komutun gerçek zamanlı olarak başarılı olup olmadığını doğrulayan bir HTTP yanıtı yoluyla orijinal isteklerine daha fazla geri bildirim alır.
NPM'deki veri silecek vakaları, kötü amaçlı yazılım dağıtım platformlarına kaydırıldığında tipik durum olan finansal kazanç veya veri hırsızlığı amacına hizmet etmedikleri için olağandışıdır.
Socket, iki paketi, ekosisteme sürünen devlet düzeyinde veya sabotaj aktivitesini gösterebilecek "NPM'nin tehdit manzarasına ek olarak bir ek" olarak karakterize ederek yorumlar.
"Bu paketler kripto para birimi veya kimlik bilgileri çalmıyor - her şeyi siliyorlar."
Diyerek şöyle devam etti: "Bu, sadece finansal olarak motive olmak yerine sabotaj, rekabet veya eyalet düzeyinde bozulma ile motive edilen saldırganları gösteriyor."
Yama, karmaşık senaryolar, uzun saatler ve sonsuz yangın tatbikatları anlamına gelir. Artık değil.
Bu yeni kılavuzda Tines, modern BT kuruluşlarının otomasyonla nasıl dengelendiğini bozuyor. Daha hızlı yama, ek yükü azaltın ve stratejik çalışmaya odaklanın - karmaşık komut dosyaları gerekmez.
Yeni Pathwiper Veri Silecek Korumanı Kötü Yazılım Ukrayna'da Kritik Altyapı Vuruyor
NPM'de düzinelerce kötü amaçlı paket, ana bilgisayar ve ağ verileri toplayın
Hacker, geri çekilmiş GitHub koduyla diğer bilgisayar korsanlarını ve oyuncuları hedefliyor
Fidye yazılımı çeteleri giderek daha fazla Skitnet Sıkıştırma Sonrası Kötü Yazılım
Tedarik Zinciri Saldırısı NPM Paketine Haftalık 45.000 İndirme
Kaynak: Bleeping Computer