Saldırının Genel Çerçevesi
Geliştiricileri hedef alan yeni bir siber saldırı kampanyasında, tehdit aktörleri Bitbucket gibi güvenilir platformlarda “Cryptan-Platform-MVP1” gibi sahte Next.js depoları oluşturuyor. Bu depolar, iş arayan geliştiricileri kandırarak kötü amaçlı JavaScript kodlarını çalışma zamanında bellek içinde yürütmeye zorluyor. Saldırılar, Visual Studio Code (VS Code) projeleri, npm komutları ve sunucu başlatma süreçleri gibi rutin geliştirici iş akışlarına entegre ediliyor.
Saldırı Zinciri ve Teknik Detaylar
Kampanya üç ana yürütme yoluyla gerçekleştiriliyor:
- Visual Studio Code Çalışma Alanı Yürütmesi: VS Code projelerinde runOn: “folderOpen” tetikleyicisi kullanılarak, geliştirici projeyi açar açmaz Vercel alanından kötü amaçlı kod çekilip çalıştırılıyor.
- Derleme Zamanı Yürütmesi: “npm run dev” komutu çalıştırıldığında, jquery.min.js olarak gizlenmiş kötü amaçlı JavaScript yükleyicisi Node.js ortamında bellek içi yürütülüyor.
- Sunucu Başlatma ve Dinamik Kod Yürütme: Uygulama arka ucu başlatıldığında, arka uç modüllerinde gizlenmiş yükleyici mantığı işlem ortamını dış sunucuya iletiyor ve gelen JavaScript kodu Node.js sürecinde bellek içinde çalıştırılıyor.
Bu yöntemlerin tamamı, benzersiz “instanceId” tanımlayıcısı ile ana bilgisayarı profilleyip C2 sunucusuyla sürekli iletişim kuruyor. Böylece saldırganlar, kalıcı erişim sağlıyor ve diskte iz bırakmadan komutlar gönderebiliyor.
Tehdit Aktörlerinin Taktiklerinde Değişiklikler
Son raporlar, Vercel URL’leri yerine GitHub gist’leri (gist.githubusercontent.com) ve URL kısaltıcılar (short.gy gibi) kullanılarak aşama sunucularının gizlendiğini gösteriyor. Ayrıca, “eslint-validator” adlı kötü amaçlı npm paketi Google Drive üzerinden BeaverTail adlı JavaScript kötü amaçlı yazılımını indirip çalıştırıyor. Windows ortamlarında ise certutil aracıyla şifrelenmiş betikler çözülerek PyArmor korumalı Python kötü amaçlı yazılımı dağıtılıyor.
Hedefler ve Etkileri
Kampanyanın nihai amacı, geliştirici sistemlerinde bulunan kaynak kod, kimlik bilgileri ve sırlar gibi kritik verileri ele geçirmek. Bu sayede hedef ağlarda derinlemesine sızma ve uzun süreli kalıcılık sağlanıyor. Polygon blok zinciri sorgulamasıyla NFT sözleşmelerinden JavaScript kodu alan varyantlar da tespit edildi. Bu yükler, web tarayıcıları, kripto para cüzdanları ve parola yöneticilerinden bilgi çalan zararlılar içeriyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Geliştirici iş akışlarında güçlü kimlik doğrulama ve koşullu erişim politikaları uygulayın.
- Yapı kimliklerine ve geliştirici hesaplarına en az ayrıcalık prensibini benimseyin.
- VS Code görev dosyalarını ve npm paketlerini düzenli olarak inceleyin, şüpheli içeriklere karşı EDR çözümlerini yapılandırın.
- Geliştirme ortamlarını üretim ortamlarından izole ederek ağ segmentasyonu sağlayın.
- Log yönetimi ve SIEM sistemlerinde npm, VS Code ve Node.js süreçlerine dair anormal aktiviteleri takip edin.
- Yapı altyapısını mümkünse ayrı tutarak kötü amaçlı kodların yayılma riskini azaltın.
- Phishing ve sosyal mühendislik saldırılarına karşı e-posta güvenliği çözümlerini güçlendirin.
Teknik Özet
- Kullanılan zararlılar: BeaverTail JavaScript kötü amaçlı yazılımı, PyArmor korumalı Python zararlısı
- Hedef sektörler: Yazılım geliştirme ortamları, blockchain projeleri
- Kullanılan yöntemler: Bellek içi JavaScript yürütme, VS Code runOn tetikleyicisi, npm paketleri, uzak C2 iletişimi
- Saldırı zinciri: Sahte depo oluşturma → Geliştirici iş akışına kötü amaçlı kod yerleştirme → Bellek içi yürütme ve C2 iletişimi → Veri sızıntısı ve kalıcı erişim
- Önerilen savunma: MFA, IAM politikaları, EDR ve SIEM entegrasyonu, ağ segmentasyonu, düzenli güvenlik taramaları