Socket güvenlik araştırmacısı Kush Pandya’nın raporuna göre, Windows, macOS ve Linux platformlarında çalışan geliştiricilerin kimlik bilgilerini hedef alan karmaşık bir bilgi hırsızlığı operasyonu ortaya çıktı. 4 Temmuz 2025 tarihinde npm kayıt defterine yüklenen ve toplamda 9.900’den fazla indirilen 10 sahte npm paketi, popüler kütüphaneler olan TypeScript, discord.js, ethers.js, nodemon, react-router-dom ve zustand gibi isimlerin yazım hatalı versiyonlarını taklit ediyor.
Karmaşıklaştırılmış Yük ve Çok Katmanlı Gizleme Teknikleri
Kötü amaçlı yazılım, PyInstaller ile paketlenmiş yaklaşık 24MB büyüklüğünde bir bilgi hırsızı içeriyor. Yük, dört katmanlı karmaşıklaştırma teknikleri kullanılarak gizlenmiş; XOR şifrelemesi, URL kodlaması, onaltılık ve sekizlik aritmetik işlemlerle JavaScript kodu analiz edilmesi zor hale getirilmiş. Kurulum sırasında sahte CAPTCHA ekranı gösterilerek kullanıcıların şüphelenmesi engelleniyor ve gerçek paket kurulum çıktıları taklit ediliyor.
Platforma Özgü Terminal Komutları ve Otomatik Çalıştırma
Her pakette, postinstall kancası aracılığıyla otomatik tetiklenen “install.js” betiği, kurbanın işletim sistemini tespit ederek Windows’ta Komut İstemi, Linux’ta GNOME Terminal veya x-terminal-emulator, macOS’ta ise Terminal penceresi açıyor. Bu yeni terminal penceresinde karmaşıklaştırılmış “app.js” yükü çalıştırılıyor. Böylece kötü amaçlı yazılım npm kurulum sürecinden bağımsız şekilde arka planda faaliyet gösteriyor ve kısa süreli açılan pencere hemen temizlenerek fark edilmesi zorlaştırılıyor.
Gelişmiş Bilgi Toplama ve Anahtar Zinciri Hedeflemesi
Hırsız, web tarayıcıları, yapılandırma dosyaları, SSH anahtarları, e-posta istemcileri (Outlook, Thunderbird), bulut depolama senkronizasyon araçları (Dropbox, Google Drive, OneDrive), VPN bağlantıları (Cisco AnyConnect, OpenVPN), parola yöneticileri ve veritabanı bağlantı dizeleri gibi çok sayıda kaynaktan kimlik bilgilerini topluyor. Ayrıca sistem anahtar zincirlerine doğrudan erişim sağlayarak, keyring npm kütüphanesi üzerinden şifresi çözülmüş biçimde kritik kimlik bilgilerini çıkarıyor. Bu yöntem, uygulama düzeyindeki güvenlik önlemlerini atlayarak kurumsal ağlara, üretim veritabanlarına ve dosya depolama alanlarına anında erişim sağlıyor.
Benzerlikler ve İleri Düzey Tehdit Analizi
Bu saldırı, MCP istemcisi ve AsyncRAT gibi gelişmiş uzaktan erişim araçlarının kullandığı tekniklerle benzerlikler taşıyor. Ayrıca, konteyner ortamlarında rastgele SSH portları kullanımı ve Pydantic AI tabanlı davranış analizlerinin önemi, bu tür çok aşamalı kimlik bilgisi hırsızlığı operasyonlarının tespitinde kritik rol oynuyor. Siber güvenlik profesyonelleri için bu tür saldırıların erken tespiti ve izolasyonu, kurumsal altyapıların korunmasında hayati önem taşıyor.