Npm'de yayınlanan kendi kendine yayılan bir paket, her yedi saniyede bir yeni paketler üreterek kayıt defterine spam göndererek büyük miktarda gereksiz dosya oluşturur.
Rastgele Endonezya adlarını ve yiyecek terimlerini seçen kendine özgü paket adlandırma şeması nedeniyle 'IndonesianFoods' olarak adlandırılan solucan, Sonatype'e göre 100.000'den fazla paket yayınladı ve bu sayı katlanarak artıyor.
Her ne kadar paketlerde geliştiriciler için kötü amaçlı bir bileşen bulunmasa da (örn. veri çalmak, ana bilgisayarlara arka kapı açmak), tehlikeli bir yük getiren bir güncellemeyle bu durum değişebilir.
Saldırının otomasyon düzeyi ve büyük ölçekli doğası, geniş tedarik zinciri uzlaşması potansiyeli yaratıyor.
Bu spam kampanyasını ilk kez bildiren güvenlik araştırmacısı Paul McCarty, rahatsız edici npm yayıncılarını ve platformda yayınladıkları paket sayısını takip etmek için bir sayfa oluşturdu.
Sonatype, aynı aktörlerin 10 Eylül'de 'fajar-donat9-breki' adlı paketle başka bir girişimde bulunduğunu bildirdi. Bu paket aynı kopyalama mantığını içermesine rağmen yayılmayı başaramadı.
Sonatype'in baş güvenlik araştırmacısı Garrett Calpouzos, BleepingComputer'a şöyle konuştu: "Bu saldırı, birden fazla güvenlik veri sistemini altüst etti ve benzeri görülmemiş bir ölçek sergiledi."
"Amazon Inspector, bu paketleri OSV uyarıları aracılığıyla işaretleyerek büyük bir güvenlik açığı raporu dalgasını tetikliyor. Yalnızca Sonatype'in veritabanı tek bir günde 72.000 yeni uyarı gördü."
Araştırmacı, IndonesianFoods'un geliştirici makinelere sızmaya odaklanmadığını, bunun yerine ekosistemi strese sokmaya ve dünyanın en büyük yazılım tedarik zincirini bozmaya odaklandığını belirtti.
Calpouzos, "Motivasyon belirsiz ama sonuçları çarpıcı" dedi.
Endor Labs'ın IndonesianFoods kampanyasıyla ilgili bir raporu, bazı paketlerin, OSS katkılarını TEA tokenleri ile ödüllendiren ve TEA hesaplarını ve cüzdan adreslerini listeleyen tea.yaml dosyalarını içeren bir blockchain sistemi olan TEA Protokolünü kötüye kullandığından bahsediyor.
Saldırganlar, binlerce birbirine bağlı paket yayınlayarak daha fazla token kazanmak için etki puanlarını artırdılar; bu da saldırının arkasında mali bir saik bulunduğunu gösteriyor.
Ayrıca Endor Labs, spam kampanyasının aslında iki yıl önce başladığını, 2023'te 43.000 paketin eklendiğini, TEA'dan para kazanmanın 2024'te uygulamaya konulduğunu ve solucan benzeri çoğaltma döngüsünün 2025'te tanıtıldığını bildirdi.
IndonesianFoods kampanyası, OpenVSX'e yönelik GlassWorm saldırısı, bağımlılık kafa karışıklığı yayılımını kullanan Shai-Hulud solucanı ve tebeşir ve hata ayıklama gibi yaygın olarak kullanılan paketlerin ele geçirilmesi de dahil olmak üzere, açık kaynak ekosistemlerine yönelik benzer otomasyon tabanlı tedarik zinciri saldırıları bağlamında geliyor.
Bireysel olarak bu olaylar sınırlı hasara neden oldu, ancak saldırganların açık kaynak ekosistemlerini alt etmek için otomasyondan ve ölçeklendirmeden giderek daha fazla yararlandığı yeni bir eğilimin altını çiziyor.
Sonatype ayrıca bu basit ama etkili operasyonların, tehdit aktörlerinin daha ciddi kötü amaçlı yazılımları açık kaynaklı ekosistemlere kaydırması için ideal koşullar oluşturduğu konusunda da uyardı.
Saldırı devam ettikçe yazılım geliştiricilere bağımlılık sürümlerini kilitlemeleri, anormal yayınlama kalıplarını izlemeleri ve sıkı dijital imza doğrulama politikaları uygulamaları tavsiye ediliyor.
Güncelleme 11/14 - AWS araştırmacıları aynı kampanya hakkındaki gözlemlerini içeren bir rapor da yayınladılar ve şu anda npm'de 150.000'den fazla paket tespit ettiklerini bildirdiler.
MCP (Model Bağlam Protokolü), LLM'leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.
BÜYÜK sabotaj: Ünlü npm paketi Ukrayna savaşını protesto etmek için dosyaları siliyor
GitHub, zorunlu 2FA ve erişim belirteçleriyle npm güvenliğini sıkılaştırıyor
Çerez çalan kötü amaçlı yazılımları getirmek için QR Kodunu kullanan NPM paketi yakalandı
Büyük NPM tedarik zinciri saldırısının ardından bilgisayar korsanlarının eli boş kaldı
Popüler npm linter paketleri, kötü amaçlı yazılımları düşürmek için kimlik avı yoluyla ele geçirildi
Kaynak: Bleeping Computer