Son dönemde ortaya çıkan bir siber saldırı kampanyasında, npm paket yöneticisinde yayılan 148 sahte proxy paketi, kullanıcıların tarayıcılarını farkında olmadan devasa bir DDoS botnetine çevirdi. Bu paketler, özellikle öğrencilerin okul filtrelerini aşmak için kullandığı araçlar gibi görünürken, arka planda ağları hedef alan saldırılar başlatıyor.
Saldırının Genel Çerçevesi
Saldırganlar, charlie-kirk, ilovefemboys ve miguelphonk gibi isimlerle yayılan paketlere “Lucide” adlı proxy uygulamasını entegre etti. Bunlar ise “Riverbend Tutoring” veya “Northstar Tutoring” gibi eğitim destek sayfaları kılığında sunuldu. Öğrenciler web filtrelerini aşabiliyor, ancak arka planda uzak bir kod yükleyici ve Wisp protokolüyle çalışan WebSocket tabanlı bir trafik bombardımanı tetikleniyordu.
Kurulum sırasında herhangi bir zararlı kod aktif edilmiyor; paketler ne lifecycle hook içeriyor ne de projeye doğrudan import edilmek üzere tasarlanmış. Saldırının aktif hale gelmesi, kullanıcıların tarayıcıda ilgili sayfayı açmasıyla gerçekleşiyor.
Saldırı Zinciri ve Teknik Detaylar
Bu kampanya, Eylül 2025’te görülen ve 500’den fazla paketi etkileyen Shai-Hulud solucanının aksine, yazılım geliştiricileri hedef almak yerine doğrudan tarayıcı üzerinden saldırı yapıyor. SafeDep tarafından Mayıs 2026’da yayımlanan ilk incelemede paketlerin reklam amaçlı ve kayıt istismarına yönelik olduğu düşünülüyordu. Ancak JFrog tarafından yapılan derin analizler, paketin 5,4 MB büyüklüğünde, 20 binden fazla satırlık karmaşık JavaScript kodu içerdiğini ortaya koydu.
İki ana modül dikkat çekiyor. İlki “G2” adlı uzaktan kod yükleyici; GitHub üzerindeki değiştirilip güncellenebilen bir JavaScript dosyasını jsDelivr CDN üzerinden çekiyor ve paketin çalıştığı alanın tüm yetkilerine sahip olarak çalışıyor. Bu, saldırganların anlık olarak tüm ziyaretçilerin tarayıcılarında kod değiştirmesine imkân veriyor.
İkincisi “I2” modülü ise WebSocket tabanlı ve Wisp protokolünü kullanarak hedef sunuculara karşı eşzamanlı bağlantılar açıyor. Wisp, tek bir WebSocket üzerinden çok sayıda TCP/UDP bağlantısı tünellemek için kullanılan hafif bir protokol. Paket, her 100 milisaniyede bir geçerli Wisp CONNECT ve CLOSE çerçeveleri göndererek uzak sunucularda kaynak tüketimi yaratıyor. Bu yöntem, klasik hacimsel DDoS saldırılarından farklı olarak kontrol düzeyinde bir tıkanıklık oluşturuyor.
Hedefler ve Altyapı
Yapılan incelemede saldırıların Illinois, Matteson’daki bir hemşirelik okulunun alan adına yönelik yoğun HTTP POST isteklerinden oluştuğu belirlendi. JFrog’a göre, aktif her tarayıcı yaklaşık 2 MB/saniye veri yüklemesi yapabiliyor; binlerce açık proxy sekmesi ise hedefe saniyede gigabaytlarca trafik gönderebilir.
Kullanılan GitHub organizasyonu “lucideproxy” adı altında oluşturulmuş ve hesaplar arasındaki bağlantılar saniyelerle ölçülüyor. Operatörlerin genç olduğu ve otomatik yayınlama scriptleriyle hızlı paket yükleme gerçekleştirdiği tespit edildi. NPM platformu ise bu yoğunluğa karşı henüz yeterince müdahale etmedi.
Siber Güvenlik Ekipleri İçin Öneriler
Bu tür istemci tarafı saldırılar, klasik bağımlılık tarayıcıları ve kurulum anında çalışan kod analiz araçlarının kapsamı dışında kalabiliyor. Bu nedenle ağ yöneticileri, özellikle okul ve kurumsal ağlarda DNS seviyesinde “lucideproxy” altyapısına ait alan adlarını engellemelidir. Örneğin, woofbeginner.com ve c.vipersfutbol.com gibi kaynaklar öncelikli bloke edilmelidir.
Kullanıcılar, şüpheli proxy sitelerini ziyaret ettiyse tarayıcı önbelleğini ve yerel depolamayı temizlemeli, varsa ilgili servis çalışanlarını devre dışı bırakmalıdır. Yazılım geliştirme ortamlarında ise bu paketlerin manifest ve kilit dosyalarından çıkartılması, temiz bir yeniden derleme yapılması önem taşıyor.
Teknik Özet
- Saldırıda kullanılan zararlı modüller: Uzaktan kod yükleyici (G2) ve WebSocket tabanlı Wisp tabanlı flood (I2).
- Hedefler: Eğitim kurumları, özellikle okul filtrelerini aşmak isteyen öğrenciler ve hemşirelik okulu sunucuları.
- Kullanılan protokol ve yöntemler: Wisp (Mercury Workshop), WebSocket çoklu bağlantı, no-cors POST flood.
- Saldırı tipi: Kontrol düzeyinde (control-plane) DDoS, log ve kaynak tüketimi yoluyla servis engelleme.
- Önerilen savunma: DNS filtreleme, istemci önbellek temizliği, bağımlılık yönetiminde sıkı kontrol, ağ segmentasyonu.
Bu yeni dalga, npm gibi açık kaynak paket yöneticilerinin sadece yükleme anı değil, çalışma anındaki kod davranışlarının da takip edilmesi gerektiğini hatırlatıyor. Özellikle istemci tarafı web uygulamalarının güvenliği, geleneksel yöntemlerin ötesinde önlemler gerektiriyor.
