Son dönemde, yazılım geliştiricileri hedef alan karmaşık bir siber casusluk kampanyası ortaya çıktı. Sahte iş ilanları ve kodlama testleri üzerinden yayılan bu saldırı, SVG bayrak görselleri içinde gizlenmiş zararlı yazılımlar barındırıyor. Bu zararlılar, OtterCookie adlı modüler malware ailesiyle benzer özellikler taşıyor ve özellikle kripto cüzdanları ile tarayıcı kimlik bilgilerini hedef alıyor.
Saldırı Zincirinde Neler Var?
Kampanyaya dahil olan kullanıcılar, dört aşamalı bir kötü amaçlı yazılım yüküyle karşılaşıyor. İlk aşamada, tarayıcı kimlik bilgileri ve kripto cüzdanları hedeflenirken, sonraki adımlar dosya hırsızlığı, Socket.IO tabanlı uzaktan erişim trojanı (RAT) ve pano içeriklerinin çalınması şeklinde ilerliyor. Zararlı yazılım, SVG formatındaki ülke bayraklarına yerleştirilen base64 kodlu gizli parçalar halinde saklanıyor ve JavaScript dosyası aracılığıyla birleştirilerek sistemde çalıştırılıyor.
Nasıl Yayılıyor?
Kampanya, sosyal mühendislik yöntemleriyle kurbanları sahte iş tekliflerine ikna ediyor. Özellikle bir e-ticaret platformunun modernizasyonunda görev alacak deneyimli geliştiriciler arandığı iddia edilerek, Slack üzerinde #jobs kanalından başlayan iletişimler doğrudan mesaj yoluyla devam ediyor. Burada, kodlama testi adı altında zararlı bir depo çalıştırılması isteniyor. Bu depo, hem gerçekçi çalışan kodlar içeriyor hem de arka planda tespit edilmesi güç zararlı bileşenler barındırıyor.
OtterCookie’nin Teknik Özellikleri
İlk kez Eylül 2024’te tespit edilen OtterCookie, uzaktan komut çalıştırma, kripto anahtarlarını arama ve veri hırsızlığı gibi işlevlere sahip modüler bir kötü amaçlı yazılım. Yapılan analizler, dört farklı modülün tarayıcıları, kripto cüzdanlarını, belirli dosya türlerini ve pano verilerini hedef aldığını gösteriyor. Ayrıca Socket.IO protokolü kullanılarak arka kapı erişimi sağlanıyor ve Windows yürütülebilir dosyaları bırakılıyor. İlginç olan, bu malware’in yapay zeka destekli kodlama araçlarına (.claude, .cursor, .gemini vb.) yönelik dosya arayışında bulunması, saldırganların hedeflerini sürekli genişlettiğini ortaya koyuyor.
Gelişmelerin Anlamı ve Etkileri
Yazılım geliştiricilerinin hedef alınması, tedarik zinciri saldırılarının kapısını aralıyor. Tek bir geliştiricinin ele geçirilmesi, ardı sıra çok daha büyük organizasyonların sistemlerine erişim sağlanmasına olanak verebiliyor. Saldırganlar, hem npm paketleri gibi farklı yayılma yollarını hem de sosyal mühendislik tekniklerini bir arada kullanarak erişimlerini genişletiyor. Bu durum, güvenlik ekiplerinin e-posta güvenliği, ağ segmentasyonu ve olay müdahale süreçlerini güçlendirmesini gerektiriyor.
Teknik Özet
• Kullanılan zararlılar: OtterCookie modüler malware, Socket.IO tabanlı RAT
• Hedef kitle: Yazılım geliştiriciler, özellikle e-ticaret ve teknoloji sektörü
• Yayılma yöntemi: Sosyal mühendislik (Slack üzerinden sahte iş teklifi), zararlı kod içeren Git reposu
• Saldırı zinciri: Sahte iş teklifi → Kodlama testi → Malware yüklenmesi → Veri sızıntısı
• Temel önlemler: Çok faktörlü kimlik doğrulama, kod inceleme süreçlerinin güçlendirilmesi, EDR ve SIEM çözümleriyle anormal aktivitelerin takibi
Güvenlik Ekipleri İçin Öneriler
1. Yazılım geliştiricilerin erişim hakları sıkı şekilde kontrol edilmeli.
2. Kodlama testlerinde kullanılan araçlar ve depolar mutlaka doğrulanmalı.
3. Slack ve benzeri işbirliği platformlarında şüpheli mesajlara karşı farkındalık arttırılmalı.
4. EDR çözümleri ile Socket.IO protokolü üzerinden gerçekleşen anormal bağlantılar izlenmeli.
5. Pano ve kripto cüzdan erişimlerinin logları düzenli olarak incelenmeli.
6. Tedarik zinciri güvenliği kapsamında üçüncü taraf kod ve paketler sıkı denetlenmeli.
7. Olay müdahale süreçlerinde sosyal mühendislik saldırılarına yönelik senaryolar test edilmeli.
