Kuzey Kore Kaynaklı Yeni npm Kötü Amaçlı Yazılım Kampanyasında Yapay Zeka ve RAT Kullanımı

Anasayfa » Kuzey Kore Kaynaklı Yeni npm Kötü Amaçlı Yazılım Kampanyasında Yapay Zeka ve RAT Kullanımı
APT, Yazılım Tedarik Zinciri, Zararlı Yazılım
Nisan 30, 2026Nisan 30, 2026Tarafından Cybernews.TR
0
Kuzey Kore Kaynaklı Yeni npm Kötü Amaçlı Yazılım Kampanyasında Yapay Zeka ve RAT Kullanımı

Saldırının Genel Çerçevesi

Kuzey Kore kaynaklı tehdit aktörleri, npm paket yöneticisi üzerinde “@validate-sdk/v2” adlı bir yardımcı yazılım geliştirme kiti (SDK) aracılığıyla yeni bir kötü amaçlı yazılım kampanyası başlattı. İlk olarak 2024 başlarında tespit edilen bu paket, karma, doğrulama ve kodlama/çözme işlevleri sunduğu iddiasıyla geliştiricilere sunulurken, arka planda zararlı kodlar barındırıyor.

Kampanya kapsamında sahte firmalar kullanılarak meşru yazılım paketlerine benzerlik sağlanıyor ve AsyncRAT gibi uzaktan erişim trojanları (RAT) ile hedef sistemlerde kalıcı erişim sağlanıyor. Yapay zeka destekli bileşenler, özellikle Pydantic AI tabanlı doğrulama modülleri ile saldırının tespiti ve engellenmesini zorlaştırıyor.

Saldırı Zinciri ve Teknik Detaylar

Kampanyanın saldırı zinciri genel olarak şu adımlardan oluşuyor:

  • Yazılım Tedarik Zinciri İstismarı: Sahte firmalar tarafından yayımlanan “@validate-sdk/v2” paketi npm deposuna yükleniyor.
  • Yapay Zeka Destekli Kod Enjeksiyonu: Paket içerisinde Pydantic AI tabanlı doğrulama ve rastgele üretim fonksiyonları kullanılarak zararlı kodlar gizleniyor.
  • Uzaktan Erişim Trojanı (AsyncRAT) Kurulumu: Paket yüklendikten sonra hedef sistemlerde AsyncRAT arka kapısı aktif hale geliyor ve saldırganlara uzaktan kontrol imkanı sağlanıyor.

Bu saldırı zinciri, MITRE ATT&CK matrisinde T1195 (Tedarik Zinciri Kompromisyonu) ve T1059 (Komut ve Betik Dili) teknikleriyle örtüşüyor. Ayrıca, hedeflenen sektörler arasında yazılım geliştirme, bulut hizmet sağlayıcıları ve kritik altyapılar yer alıyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler

  • npm ve diğer paket yöneticilerinde kullanılan paketlerin kaynağını doğrulayın ve şüpheli paketleri engelleyin.
  • EDR çözümlerinde AsyncRAT ve benzeri RAT imzalarını güncel tutun ve davranış tabanlı tespit kuralları oluşturun.
  • Bulut ortamlarında ağ segmentasyonu uygulayarak zararlı yazılımın yayılmasını sınırlayın.
  • Güçlü IAM politikaları ve çok faktörlü kimlik doğrulama (MFA) kullanarak erişim kontrollerini sıkılaştırın.
  • Olay müdahale (incident response) planlarını güncelleyerek yazılım tedarik zinciri saldırılarına karşı hazırlıklı olun.
  • Log yönetim sistemlerinde npm paket yükleme ve güncelleme aktivitelerini izleyin.
  • Güvenlik duvarlarında npm paket yöneticisi trafiği için özel kurallar belirleyin.
  • Yazılım geliştirme süreçlerinde statik kod analiz araçları ve güvenlik tarayıcıları kullanarak zararlı kodların erken tespitini sağlayın.

Kurumsal Ortamlarda Olası Senaryo

Örneğin bir SaaS sağlayıcısı, geliştirme ortamında “@validate-sdk/v2” paketini kullanmaya başladığında, arka planda AsyncRAT ile enfekte olabilir. Bu durum, saldırganların bulut altyapısına sızmasına ve müşteri verilerine erişmesine yol açabilir. Bu tür saldırılar, bulut güvenliği ve ağ segmentasyonu önlemleriyle kısmen engellenebilir ancak yazılım tedarik zinciri güvenliği kritik önem taşır.

, , , , , , ,