4 Kötü Amaçlı Paketle ASP.NET Kimlik Verileri ve Sistemler Hedefte

Anasayfa » 4 Kötü Amaçlı Paketle ASP.NET Kimlik Verileri ve Sistemler Hedefte
APT, Yazılım Tedarik Zinciri, Zararlı Yazılım
Şubat 26, 2026Şubat 26, 2026Tarafından Cybernews.TR
0
4 Kötü Amaçlı Paketle ASP.NET Kimlik Verileri ve Sistemler Hedefte

Saldırının Genel Çerçevesi

Ağustos 2024’te, hamzazaheer adlı kullanıcı tarafından NuGet deposuna yüklenen dört kötü amaçlı paket (NCryptYo, DOMOAuth2_, IRAOAuth2.0 ve SimpleWriter_) ASP.NET Identity verilerini hedef aldı. Bu paketler, kullanıcı hesapları, rol atamaları ve izin eşlemelerini dışarı aktarırken, yetkilendirme kurallarını manipüle ederek mağdur uygulamalarda kalıcı arka kapılar oluşturdu. Paketler, 4.500’den fazla indirildi ve kısa süre sonra depodan kaldırıldı.

NCryptYo, meşru NCrypto paketine benzer şekilde davranan bir dropper olarak localhost:7152’de yerel bir proxy kuruyor ve trafiği saldırganın kontrolündeki dinamik C2 sunucusuna iletiyor. DOMOAuth2_ ve IRAOAuth2.0 paketleri ASP.NET Identity verilerini bu proxy üzerinden dışarı aktarırken, SimpleWriter_ koşulsuz dosya yazma ve gizli süreç yürütme özellikleriyle kendini PDF dönüştürücü olarak tanıtıyor.

npm Paketinde Gelişmiş Zararlı Yazılım

Şubat 2026’da npm’ye yüklenen ambar-src adlı paket, preinstall script kancasını kullanarak yükleme sırasında kötü amaçlı kod çalıştırıyor. Bu zararlı yazılım, işletim sistemine göre farklı yükler indiriyor: Windows’ta msinit.exe adlı şifrelenmiş shellcode içeren bir dosya, Linux’ta SSH tabanlı ters kabuk istemcisi içeren ELF ikili dosyası, macOS’ta ise Mythic C2 çerçevesinin bir parçası olan Apfell ajanını çalıştıran JavaScript betiği indiriliyor. Bu gelişmiş kötü amaçlı yazılım, Windows, Linux ve macOS geliştiricilerini hedef alıyor ve Yandex Cloud alanına veri sızdırıyor.

Saldırı Zinciri ve Teknik Detaylar

  • Dropper aşaması: NCryptYo, yerel proxy kurarak C2 sunucusuyla iletişim sağlıyor.
  • Veri sızıntısı: DOMOAuth2_ ve IRAOAuth2.0, ASP.NET Identity verilerini dış altyapıya aktarıyor.
  • Yetkilendirme manipülasyonu: C2 sunucusu, uygulamanın yetki kurallarını değiştirerek kalıcı arka kapılar oluşturuyor.
  • Dosya yazma ve gizli süreç: SimpleWriter_, diske zararlı içerik yazıyor ve arka planda çalıştırıyor.
  • npm paketinde: preinstall script ile platforma özel zararlı yükler indiriliyor ve çalıştırılıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • NuGet ve npm paketlerini kullanmadan önce imza ve kaynak doğrulaması yapın.
  • ASP.NET uygulamalarında Identity ve yetkilendirme katmanlarını düzenli olarak denetleyin.
  • EDR çözümleri ile localhost proxy trafiğini ve anormal ağ bağlantılarını izleyin.
  • Uygulama ve sistem loglarını SIEM platformlarında toplayarak yetkisiz erişim ve veri sızıntısı belirtilerini tespit edin.
  • Yazılım tedarik zinciri güvenliği için Zero Trust prensiplerini uygulayın ve bağımlılıkları sıkı kontrol edin.
  • npm ve NuGet paketlerinin preinstall gibi script kancalarını dikkatle inceleyin.
  • Firewall ve ağ segmentasyonu ile C2 sunucularına giden trafiği kısıtlayın.
  • Yetkilendirme kurallarında beklenmedik değişiklikleri otomatik olarak izleyen sistemler kurun.

Kurumsal Ortamlarda Olası Senaryo

Bir SaaS sağlayıcısı, geliştirme ortamında kötü amaçlı NuGet paketlerini kullanarak ASP.NET Identity verilerini sızdırabilir. Tehdit aktörü, yetkilendirme kurallarını manipüle ederek üretim ortamında yönetici erişimi elde eder. Bu durum, müşteri verilerinin çalınmasına ve sistemlerin tam kontrolünün ele geçirilmesine yol açar. Aynı zamanda, npm üzerinden yayılan ambar-src paketi, geliştiricilerin makinelerinde Mythic C2 ajanları bırakarak geniş çaplı keşif ve veri hırsızlığı gerçekleştirir.

, , , , , , ,