npm kayıt defterine 2025 Nisan ayında “nikotimon” adlı kullanıcı tarafından yüklenen nodejs-smtp adlı paket, popüler e-posta kütüphanesi nodemailer‘ı sloganları, sayfa tasarımı ve README içerikleriyle neredeyse birebir taklit ederek toplamda 347 indirme aldı. Şu anda paket erişime kapatılmış durumda.
Electron Tabanlı Kötü Amaçlı Manipülasyon
Socket araştırmacısı Kirill Boychenko’nun analizine göre, paket içe aktarıldığında Electron araçlarını kullanarak Atomic Wallet’in app.asar dosyasını açıyor, içindeki tedarikçi paketini kötü amaçlı bir sürümle değiştiriyor, uygulamayı yeniden paketleyip çalışma dizinini temizleyerek izleri siliyor. Bu yöntem, Electron paketlemenin kötüye kullanılmasıyla masaüstü uygulamalarının sessizce değiştirilmesine olanak tanıyor.
Kripto Para Kliperi İşlevi
Bu kötü amaçlı paket, Bitcoin (BTC), Ethereum (ETH), Tether (USDT ve TRX USDT), XRP ve Solana (SOL) işlemlerini, hedef cüzdan adreslerini tehdit aktörlerinin kontrolündeki sabit kodlu adreslerle değiştirerek yönlendirmeye çalışıyor. Böylece etkili bir kripto para kliperi olarak işlev görüyor.
Şüpheyi Azaltan Mailer Kılıfı
nodejs-smtp, geliştiricilerin dikkatini çekmemek için SMTP tabanlı bir mailer olarak işlevini sürdürmekte ve nodemailer ile uyumlu bir drop-in arayüz sunmakta. Bu işlevsel örtü, bağımlılık sorgulamasını zorlaştırıyor ve uygulama testlerinin sorunsuz geçmesini sağlıyor.
Benzer Saldırı Kampanyaları
Bu olay, ReversingLabs’ın Atomic ve Exodus cüzdanlarının app.asar arşivlerini açıp içindeki JavaScript dosyasını değiştirerek klip işlevi ekleyen “pdf-to-office” adlı benzer bir npm paketini keşfetmesinden birkaç ay sonra gerçekleşti. Boychenko, bu kampanyanın rutin bir içe aktarma işlemi sırasında masaüstü uygulamalarının sessizce değiştirilip yeniden başlatmalarda kalıcı hale getirilebileceğini vurguladı.
Daha fazla teknik içerik ve güncel gelişmeler için bizi Google News, Twitter ve LinkedIn üzerinden takip edebilirsiniz.