AsyncAPI npm Paketleri Üzerinden Çok Katmanlı Botnet Yazılımı Dağıtıldı

Anasayfa » AsyncAPI npm Paketleri Üzerinden Çok Katmanlı Botnet Yazılımı Dağıtıldı
AsyncAPI npm Paketleri Üzerinden Çok Katmanlı Botnet Yazılımı Dağıtıldı

Geçtiğimiz dönemde npm üzerinden yayılan AsyncAPI paketlerinin kötü amaçlı yazılımlar tarafından ele geçirildiği ortaya çıktı. Bu saldırı, Node.js modüllerine gizlenmiş ve IPFS ağı üzerinden şifreli ek zararlılar indiren çok aşamalı bir botnet yapısını devreye alıyor. Yazılım geliştirenler ve paket yöneticileri için yeni tehditler kapıda.

Saldırı Zincirinin Anatomisi

Ele geçirilen paketler, ilk etapta karmaşık biçimde gizlenmiş bir JavaScript implantı barındırıyor. Önce bu ilk aşama kodu çalışıyor, ardından IPFS ağındaki şifreli ikinci aşama yük indiriliyor ve yürütülüyor. Bu ikinci aşama, “Miasma” adı verilen gelişmiş bir görev çerçevesi içeriyor ve farklı iletişim kanalları kullanarak komut alıp gönderiyor.

Önceki versiyonlardan farklı olarak, bu sefer zararlı kod npm kurulumu sırasında değil, modül Node.js ortamına yüklendiğinde tetikleniyor. Böylece fark edilmesi zorlaşıyor. Arka planda çalışan ayrı bir node süreci başlatılıyor ve IPFS adresinden zararlı yazılım indiriliyor.

Miasma Framework’ün Özellikleri

İkinci aşama yük, işletim sistemine özel dizinlere yazılan “sync.js” adlı şifreli bir JavaScript yükleyici. İçinde şifrelenmiş Miasma komut çerçevesi ve çalışma zamanında kullanılan büyük bir şifreli veri bloğu yer alıyor. Sistem, HTTP, Nostr, IPFS, BitTorrent DHT, libp2p GossipSub ve Ethereum smart contract gibi altı farklı C2 kanalı üzerinden komut ve kontrol sağlıyor.

Miasma, kimlik bilgileri çalma, yapay zeka araçlarının zehirlenmesi, yerel ağda yatay hareket ve npm, PyPI, Cargo gibi kayıtlar üzerinden kendi kendine yayılma gibi yeteneklere sahip. Ayrıca sistemde kalıcılığı sağlamak için systemd, crontab, macOS launchd ve Windows Registry autostart anahtarları oluşturuyor.

Hedeflenen Sistemler ve Savunma Mekanizmaları

Analizler, zararlının Shai-Hulud ve Miasma kampanyalarına bazı benzerlikler taşısa da, tamamen farklı bir varyant olduğunu gösteriyor. Kodda sıkça “Miasma” terimi geçse bile, bu yeni üretim bir tehdit olarak öne çıkıyor.

İlginç bir şekilde, zararlı kod “ölü adam anahtarı” mekanizması içeriyor; çalınan bir token izleniyor ve token iptal edilirse sistemdeki dosyalar otomatik olarak temizleniyor. Ayrıca, sanal ortamlar, sandbox sistemleri, Rusça dil ayarı olan makineler ve çeşitli güvenlik araçları tespit edilirse zararlı çalışmayı durduruyor.

Nasıl Yayılıyor ve Kime Zarar Verebilir?

Saldırganların, projelerin GitHub Actions otomasyonlarını ele geçirerek paketleri meşru OIDC imzalarıyla yayımladığı anlaşılıyor. Npm token hırsızlığı söz konusu değil; saldırı doğrudan CI/CD hattındaki erişim zafiyetinden kaynaklanıyor. Bu durum, yazılım tedarik zincirlerinin ne kadar hassas olduğunu bir kez daha gösteriyor.

Şu ana kadar tespit edilen tüm kötü amaçlı paket sürümleri npm’den kaldırıldı. Ancak, bu paketlerden herhangi biriyle çalışan sistemlerin risk altında olduğu belirtiliyor. Zararlı kod, paket yükleme anında değil, modül kullanıldığı sırada aktif hale geliyor; yani sadece kurulumla sınırlı değil.

Teknik Özet ve Güvenlik Tavsiyeleri

Bu saldırı, tedarik zinciri saldırılarının gelişen karmaşıklığını ve npm gibi ekosistemlerdeki potansiyel tehditleri gözler önüne seriyor. Miasma’nın çoklu C2 kanalları ve kalıcılık mekanizmaları, tehdit aktörlerinin altyapılarını ne kadar çeşitlendirdiğini gösteriyor.

Sistem yöneticileri ve güvenlik ekipleri için öneriler şöyle:

  • CI/CD pipeline erişim kontrollerini sıkılaştırmak, gereksiz yetkileri kaldırmak
  • Node.js modüllerinin çalışma zamanında davranışlarını izlemek için EDR çözümleri kullanmak
  • IPFS ve diğer P2P protokollerine yönelik ağ trafiğini analiz etmek
  • Yükleme sonrası değil, modül çalıştırma sırasında da güvenlik kontrolleri uygulamak
  • Geliştirici ortamlarında şüpheli işlemleri tespit etmek için log yönetimi ve olay müdahale süreçlerini güçlendirmek

Özellikle yazılım tedarik zinciri saldırılarına karşı çok katmanlı savunma stratejileri hayati önem taşıyor. E-posta güvenliği ve ağ segmentasyonu gibi diğer temel güvenlik uygulamaları da destekleyici rol üstlenmeli.