AI Üretimi npm Kötü Amaçlı Yazılımı Kendi GitHub Token'ını Sızdırdı: Güvenlik Araştırmacıları Saldırganın İçine Böyle Girdi Yazılım

AI Üretimi npm Kötü Amaçlı Yazılımı Kendi GitHub Token'ını Sızdırdı: Güvenlik Araştırmacıları Saldırganın İçine Böyle Girdi

AI ile üretilen 'mouse5212-super-formatter' npm paketi, hardcoded GitHub token'ını sızdırarak araştırmacıların saldırganın veri hırsızlığını gerçek za

Güvenlik araştırmacıları, AI destekli bir kötü amaçlı npm paketinin, kendi hardcoded GitHub token'ını sızdırması sayesinde saldırganın veri hırsızlığı faaliyetlerini içeriden izlemeyi başardı. OX Security tarafından tespit edilen 'mouse5212-super-formatter' adlı paket, kurbanın makinesindeki dosyaları sessizce okuyarak saldırganın kontrolündeki bir GitHub deposuna yükleyen bir infostealer (bilgi hırsızı) olarak çalışıyor. Paket, 676 kez indirilmiş ve OX Security'nin raporu yayınladığı tarihte hâlâ npm'de mevcutken kısa süre sonra kaldırıldı.

Yüzeyde, betik kendisini bir 'arşiv dağıtım senkronizasyon' aracı olarak tanıtıyor ve bir GitHub deposunu kontrol edip ağ durumu anlık görüntüsü kaydettiğini iddia ediyor. Ancak OX Security analistleri, post-install (kurulum sonrası) kodunun aslında GitHub'a kimlik doğrulaması yaptığını, depo yoksa oluşturduğunu ve ardından yerel bir dizini递归 tarayarak her dosyayı GitHub Contents API aracılığıyla yüklediğini ortaya çıkardı. Çalınan dosyalar, her çalıştırmada rastgele adlandırılmış bir klasör altında saklanıyor ve faaliyeti gizlemek için sahte bir 'ağ bağlantıları' günlüğü oluşturuluyor. Yorumlar ve commit mesajları kasıtlı olarak sıradan tutulmuş.

Kötü amaçlı yazılımın ölümcül hatası, kodda hardcoded bir yedek token bırakılmasıydı. Bu token, saldırganın kendi GitHub kimlik bilgisi olduğu için araştırmacılar doğrudan veri sızıntısını izleyebildi. Saldırganın deposunda yaklaşık yedi çalma oturumu gözlemlendi ve bunların çoğunun saldırganın aracı test etmesine ait olduğu düşünülüyor. OX Security, bu paketin AI ile üretilmiş ve temel operasyonel güvenlik bilincinden yoksun bir saldırganın eseri olduğunu belirtti. Paketi yükleyen GitHub hesabı, ilk yüklemeden sadece saatler önce oluşturulmuş ve faaliyet ortaya çıkınca silinmişti.

Bu olay, daha geniş bir trendin parçası olarak değerlendiriliyor. Çalışan kötü amaçlı kod üretme çabası azaldıkça, araştırmacılar daha az yetenekli aktörler tarafından üretilen düşük kaliteli, AI destekli kötü amaçlı yazılımlarda artış bekliyor. Benzer bir dinamik, analistlerin büyük ölçüde tek bir kişi tarafından yönlendirilen bir AI ajanı tarafından üretildiği sonucuna vardığı VoidLink Linux kötü amaçlı yazılımında da görülmüştü. Bu tür saldırılar, gelişmiş kalıcı tehdit (APT) gruplarını taklit etmeye çalışsa da, basit güvenlik hataları nedeniyle genellikle başarısız oluyor.

Önemli Gelişmeler

Savunmacılar için pratik tavsiyeler, saldırganın beceriksizliğinden bağımsız olarak değişmiyor. OX Security, paketi yükleyen herkesin GitHub erişim token'larını iptal etmesini ve etkilenen dizindeki hassas dosyaları tehlikeye girmiş olarak ele almasını öneriyor. Ayrıca, geliştiricilerin npm paketlerini yüklemeden önce kaynak kodunu ve post-install betiklerini dikkatlice incelemesi, özellikle az bilinen veya yeni yayınlanmış paketlerde bu kontrollerin sıkılaştırılması gerekiyor.

Gelecekte Ne Bekleniyor?

Bu olay, AI destekli kötü amaçlı yazılımların bile temel güvenlik hataları yapabileceğini ve bu hataların araştırmacılar için değerli istihbarat sağlayabileceğini gösteriyor. Ancak, saldırganların hata yapmasına güvenmek yerine, proaktif güvenlik önlemleri almak her zaman daha önemli. Yazılım tedarik zinciri güvenliğini sağlamak için düzenli denetimler, en az ayrıcalık ilkesi ve güvenilir kaynaklardan paket kullanımı kritik öneme sahip.

Kaynak: infosecurity-magazine.com

Paylaş: