IronWorm zararlı yazılımı npm ekosisteminde 36 paketi etkileyen yeni tedarik zinciri saldırısıyla ortaya çıktı

Yazılım tedarik zinciri güvenliği alanında faaliyet gösteren JFrog araştırmacıları, Node Package Manager (npm) ekosistemini hedef alan yeni bir saldırı kampanyasını ortaya çıkardı. Araştırmaya göre IronWorm adı verilen zararlı yazılım, en az 36 npm paketine yerleştirilerek geliştiricilerin sistemlerine yayılmaya çalıştı.

Araştırmacılar, IronWorm'un özellikle geliştirici ortamlarında ve sürekli entegrasyon (CI) sistemlerinde bulunan hassas bilgileri hedeflediğini belirtti.

86 Ortam Değişkeni ve 20 Kimlik Dosyası Hedefte

JFrog tarafından yayımlanan teknik analizde, zararlı yazılımın 86 farklı ortam değişkenini ve 20 ayrı kimlik bilgisi dosyasını aradığı ifade edildi.

Hedef alınan veriler arasında OpenAI, AWS, Anthropic ve npm erişim bilgileri, kasa yapılandırma dosyaları, SSH anahtarları ve Exodus kripto para cüzdanına ait dosyaların bulunduğu belirtildi.

Araştırmacılar, saldırının yazılım geliştirme süreçlerinde kullanılan kritik erişim bilgilerinin ele geçirilmesini amaçladığını vurguladı.

Rust ile Yazıldı, Tor Üzerinden Haberleşiyor

JFrog'un bulgularına göre IronWorm, Rust programlama diliyle geliştirildi ve faaliyetlerini gizlemek için eBPF tabanlı çekirdek düzeyinde bir rootkit mekanizmasından yararlanıyor.

Araştırmacılar, zararlı yazılımın saldırganlarla iletişim kurarken Tor ağı üzerinden bağlantı sağladığını ve böylece izlenmesini zorlaştırdığını kaydetti.

Çalınan Kimlik Bilgileriyle Kendini Yayabiliyor

IronWorm'un en dikkat çekici özelliklerinden biri ise kendi kendini yayabilmesi oldu.

Araştırmacılar, ele geçirilen npm erişim bilgileri ve Trusted Publishing süreçlerinde kullanılan gizli anahtarlar sayesinde zararlı yazılımın kurbanlara ait npm paketlerine müdahale edebildiğini belirtti.

Bu sayede saldırganların, ele geçirilen geliştirici hesapları üzerinden paketlerin zararlı sürümlerini yayımlayarak yeni geliştiricileri ve CI sistemlerini enfekte edebildiği ifade edildi.

Shai Hulud Saldırılarıyla Benzerlik Taşıyor

JFrog, IronWorm ile daha önce gündeme gelen Shai Hulud tedarik zinciri saldırıları arasında bazı benzerlikler tespit etti.

Araştırmacılar doğrudan bir bağlantı bulamadıklarını belirtirken, her iki kampanyada da aynı commit isimlerinin kullanıldığına dikkat çekti.

Raporda, IronWorm'un önceki saldırıların evrimleşmiş bir sürümü olabileceği ihtimalinin değerlendirildiği aktarıldı.

GitHub Actions Üzerinden Veri Kaçırma Mekanizması

Araştırmacılar ayrıca IronWorm içerisinde dikkat çeken başka bir mekanizma daha keşfetti.

Buna göre zararlı yazılım, ele geçirilen bilgileri tek bir veri dizisi hâline getiriyor ve bunları zararsız görünen bir çıktı dosyası gibi kaydediyor. Daha sonra dosya, GitHub Actions derleme çıktısı olarak yüklenebiliyor.

JFrog, bu yöntemin saldırganların harici bir komuta ve kontrol sunucusu kullanmadan verileri elde etmesine imkân sağlayabileceğini belirtti. Ancak incelenen IronWorm saldırısında bu mekanizmanın aktif olarak kullanılmadığı kaydedildi.

Saldırı Erken Aşamada Durduruldu

Uygulama güvenliği şirketi Ox Security, saldırının erken aşamada tespit edildiğini ve npm üzerindeki daha popüler paketlere yayılmadan engellendiğini açıkladı.

Şirket, etkilenen paketlerin ve sürümlerin listesini yayımlarken geliştiricilere güncellenmiş sürümlere geçmeleri, erişim anahtarlarını yenilemeleri ve tüm hesaplarda iki faktörlü kimlik doğrulamayı etkinleştirmeleri çağrısında bulundu.

Öte yandan Endor Labs ve StepSecurity araştırmacıları da aynı dönemde ortaya çıkan ve binding.gyp adı verilen JavaScript tabanlı farklı bir zararlı yazılım kampanyasını tespit ettiklerini açıkladı. Araştırmacılar, söz konusu saldırının kayıt deposu zehirleme ve GitHub Actions enfeksiyon teknikleri kullandığını bildirdi.

Kaynak: Beykozun Sesi