'PhantomRaven' adlı aktif bir kampanya, kimlik doğrulama belirteçlerini, CI/CD sırlarını ve GitHub kimlik bilgilerini çalan düzinelerce kötü amaçlı npm paketiyle geliştiricileri hedefliyor.
Etkinlik Ağustos ayında başladı ve 86.000'den fazla indirme sayılan 126 npm paketini dağıttı.
Node Paket Yöneticisi (NPM), Node.js'nin varsayılan paket yöneticisidir ve JavaScript geliştiricileri tarafından dağıtılmış paketler biçiminde gelen yeniden kullanılabilir kodu paylaşmak ve yüklemek için kullanılır.
PhantomRaven, Koi Security'deki araştırmacılar tarafından tespit edildi ve meşru projeleri taklit eden paketler içeriyor ve çoğu, yapay zekanın halüsinasyonlu önerilerinin ("slopsquatting") sonucudur.
Geliştiriciler Yüksek Lisans'tan bir proje için paket önermelerini istediğinde ve yapay zeka asistanları yasal görünen, var olmayan paket adlarını önerdiğinde, yarım yamalak meydana gelir.
Araştırmacılar, bazı kötü amaçlı paketlerin GitLab veya Apache araçlarının kimliğine büründüğünü söylüyor. Çoğu, bu yazının yazıldığı sırada hala npm platformunda mevcut.
PhantomRaven kampanyasında kullanılan paketler, sıfır bağımlılık bildirdikleri, ancak kurulum sırasında otomatik olarak harici URL'lerden yükleri getirdikleri bir uzaktan dinamik bağımlılık (RDD) sisteminden yararlanıyor.
Mekanizma, "npm install" çalıştırıldığında paketleri otomatik olarak getirir ve yürütür ve kullanıcı etkileşimi gerektirmez.
"Yandan yüklenen" veri, hedefin değerini belirlemek için virüslü cihazın profilini çıkarır ve kurbanın ortam değişkenlerinde e-posta adreslerini arar.
En endişe verici olanı, kötü amaçlı yazılımın NPM, GitHub Actions, GitLab, Jenkins ve CircleCI için tokenlar toplaması ve bunların diğer projelerde kötü niyetli değişiklikler yapmak ve potansiyel olarak tedarik zinciri saldırıları başlatmak için kullanılabilecek olmasıdır.
Koi Security'ye göre, PhantomRaven kampanyasının arkasındaki operatörler üç veri filtreleme yöntemi kullanıyor: URL'de kodlanmış verilerle HTTP GET istekleri, JSON verileriyle HTTP POST istekleri ve bir WebSocket bağlantısı aracılığıyla.
PhantomRaven, statik analizle görülemeyen uzak dinamik bağımlılıklar nedeniyle uzun bir süre boyunca tespit edilmekten kaçındı. Koi Security, bunun gelişmiş tehdit aktörlerinin tespitten kaçmasına olanak tanıdığını belirtiyor.
Yazılım geliştiricileri, saygın satıcılar tarafından yayınlanan meşru paketleri kullandıklarından emin olmalıdır. Paket önerileri için Yüksek Lisans'lara danışmaktan kaçınmalı ve orijinal projeler ile yazım hatası yapılmış projeler arasında ayrım yapmak için arama sonuçlarını bir kez daha kontrol etmelidirler.
Koi Security'nin raporu, PhantomRaven saldırılarında kullanılan altyapıya yönelik tehlike göstergelerini (IoC'ler) ve kötü amaçlı paketlerin tam listesini içerir.
Ortamların %46'sında şifreler kırıldı; bu oran geçen yılki %25'ten neredeyse iki katına çıktı.
Önleme, tespit ve veri hırsızlığı eğilimlerine ilişkin daha fazla bulguya kapsamlı bir bakış için Picus Blue Report 2025'i hemen edinin.
GitHub, zorunlu 2FA ve erişim belirteçleriyle npm güvenliğini sıkılaştırıyor
Kötü amaçlı NPM paketleri Windows, Linux ve macOS için bilgi hırsızı getiriyor
'WhiteCobra' VSCode pazarını kripto hırsızlığı yapan uzantılarla dolduruyor
BÜYÜK sabotaj: Ünlü npm paketi Ukrayna savaşını protesto etmek için dosyaları siliyor
PyPI, GhostAction tedarik zinciri saldırısında çalınan tokenleri geçersiz kılıyor
Kaynak: Bleeping Computer