Siber güvenlik araştırmacıları, ele geçirilen iki npm paketini ve güvenliği ihlal edilmiş Windows, Linux ve macOS ana bilgisayarlarına Python tabanlı bir bilgi hırsızı dağıtmak için tasarlanmış bir Go paketi kümesini ortaya çıkardı.
JFrog teknik bir analizde şunları söyledi: "Bu saldırı, belki de npm v12'nin güvenlik güçlendirmeleriyle 'uyumlu' kalma çabasıyla, yaşam döngüsü komut dosyaları aracılığıyla en yaygın npm yürütme yollarından kaçınıyor."
"Paket, yürütmeyi VS Code'da proje klasörü açıldığında otomatik olarak çalışacak şekilde yapılandırılmış bir VS Code görevinin içinde gizliyor. Kötü amaçlı yazılım buradan, blockchain işlem verilerinden şifrelenmiş JavaScript'i alıyor, saldırgan tarafından kontrol edilen altyapıya bağlanıyor, bir Socket.io arka kapısını başlatıyor ve sonunda bir Python bilgi hırsızı dağıtıyor.
Tanımlanan npm paketlerinin isimleri aşağıda listelenmiştir:
HTML'den Gutenberg'e
fetch-page-assets (html-to-gutenberg'i bağımlılık olarak listeler)
İki paket 25 Mayıs 2026'da npm'ye yüklendi ve artık kayıt defterinden indirilemez. Saldırının başlangıç noktası, klasör VS Code veya Cursor gibi bir IDE'de çalışma alanı klasörü olarak açıldığında rastgele kod yürütülmesini tetiklemek için "runOn: 'folderOpen'" seçeneğiyle yapılandırılmış "eslint-check" adlı gizli bir Microsoft Visual Studio Code (VS Code) görevidir.
"İç içe geçmiş her .vscode/tasks.json dosyasını yinelemeli olarak yürütmezler; JFrog, bu durumda, kötü amaçlı paket dizininin kendisi çalışma alanı olarak açıldığında ve güvenilir olarak işaretlendiğinde veya geliştiricinin açıkça otomatik görevlere izin verdiğinde tetikleyicinin etkinleştiğini belirtti. "Komut ayrıca, dosya yalnızca JavaScript kodu içermesine rağmen yükü bir yazı tipi dosyası olarak gizler - public/fonts/fa-solid-400.woff2."
VS Code otomatik çalıştırma görevinin kötüye kullanılmasının yanı sıra JavaScript kötü amaçlı yazılımlarının yazı tipi dosyaları olarak gizlenmesinin Kuzey Kore'ye atfedildiğini belirtmekte fayda var. Faaliyeti Sahte Yazı Tipi adı altında izleyen OpenSourceMalware ekibi, bunu, hileli iş görüşmesi süreçleri aracılığıyla yazılım geliştiricileri ve teknik personeli hedef alan uzun süredir devam eden bir kampanya olan Bulaşıcı Röportajın bir çeşidi olarak tanımladı.
Güvenlik araştırmacısı Paul McCarty, Ocak ayında, "Bu 'Sahte Yazı Tipi' kampanyası, kripto para birimi cüzdanlarını ve tarayıcı kimlik bilgilerini çalmak ve kalıcı erişim sağlamak için tasarlanmış InvisibleFerret Python arka kapısını sonuçta dağıtan çok aşamalı bir yükleyici sunuyor." dedi. "Bu, 2023 yılından bu yana devam eden Bulaşıcı Mülakat' kampanyasının üçüncü alt kampanyasıdır."
Sahte yazı tipi dosyası, bir sonraki aşama JavaScript yükünü kaldırma çabalarına karşı dayanıklı bir şekilde getirmek için bir geri dönüş mekanizması olarak TronGrid ve Aptos'a güvenerek, blok zinciri altyapısını ölü bırakma çözümleyicisi olarak kullanıyor. JavaScript aşaması, dosya yüklemelerine ve Python kötü amaçlı yazılım dağıtımına olanak tanıyan bir komut ve kontrol (C2) sunucusunu yapılandırmak için aynı ölü bırakma alma modelini tekrarlar.
Buna, kabuk yürütme, pano toplama, dosya sistemi işlemleri, dosya yükleme, süreç yönetimi ve isteğe bağlı JavaScript yürütme gibi özellikler aracılığıyla operatöre virüs bulaşmış ana bilgisayar üzerinde uzaktan kontrol sağlayan bir Socket.io arka kapısının kurulması da dahildir.
Buna paralel olarak enfeksiyon zinciri, Python bilgi hırsızını C2 sunucusundan almaktan ve gerekli bağımlılıkları kurmaktan sorumlu olan bir Python yükleyici bileşenini başlatır. Bu yapı, Chromium tabanlı ve Mozilla Firefox tarayıcılarında, parola yöneticilerinde, kimlik doğrulayıcılarında ve kripto para birimi cüzdanlarında depolanan verileri çekebilen geniş kapsamlı bir kimlik bilgisi, tarayıcı, cüzdan ve geliştirici yapıt hırsızıdır.
Ayrıca Git kimlik bilgileri, GitHub CLI hosts.yml, GitHub Masaüstü günlükleri, VS Code ve küresel depolama gibi geliştirici odaklı bilgilerin yanı sıra Windows Kimlik Bilgisi Yöneticisi, Linux Gizli Servisi, KDE Cüzdanı, macOS Anahtar Zinciri ve Dropbox, Google Drive, Microsoft OneDrive, Apple iCloud, Box, Mega ve pCloud için bulut depolama meta verileri verilerini toplayacak donanıma sahiptir.
Son aşamada toplanan veriler
sıkıştırılmış ZIP arşivlerine paketlenir ve C2 sunucusuna ve çalışma zamanı sırasında saldırgan tarafından bir bot jetonu sağlanırsa bir Telegram botuna yüklenir.
Kampanya aynı zamanda Go ekosistemini de hedef aldı; Nextron Systems, aynı kötü amaçlı yazılımı içeren 16 Go paketinden oluşan bir set keşfetti. Liste aşağıdaki gibidir:
github.com/lambda-platform/lambda
github.com/reauheau/goaubio
github.com/glacialspring/go-winsparkle
github.com/bm-197/chill
github.com/naol7/dist-task-scheduler
github.com/anatoli-derese/a2sv-excercise
github.com/amantsehay/a2sv-go-course
github.com/dexbotsdev/uniswap-v2-v3-arbitraj
github.com/lambda-platform/ebarimt-rest-api
github.com/lambda-platform/dan
github.com/zainirfan13/graphql-client
github.com/hngi/team-fierce-backend-golang
github.com/glacialspring/static
github.com/rickt/slack-weather-bot
github.com/Barsu5489/commerce
github.com/Setsu548/Logistic
JFrog, "Çoğu, aynı yapıyı ve sahte yazı tipi dosyasını kullanan, en son yayımlanan sürümü orijinal paket içeriğinin yanı sıra kötü amaçlı yazılım da içeren meşru paketler gibi görünüyor" diye ekledi.
Paketleri yükleyen kullanıcılara bunları hemen kaldırmaları, gizli VS Code klasörü açma görevlerini bulmak için geliştirici makinelerinde arama yapmaları ve kimlik bilgilerini, belirteçleri, bulut kimlik bilgilerini, API anahtarlarını, tarayıcıda saklanan kimlik bilgilerini ve cüzdan kimlik bilgilerini dönüşümlü olarak kullanmaları önerilir.
Siber güvenlik şirketi, "Yükler, saldırganın hem anında hırsızlık hem de etkileşimli erişimle ilgilendiğini gösteriyor" dedi. "Soket.io tabanlı arka kapı, komut yürütme ve dosya toplama sağlarken, Python aşaması tarayıcılar, işletim sistemi kimlik bilgileri depoları, geliştirici araçları ve kripto para birimi uygulamaları arasında geniş kimlik bilgileri ve cüzdan toplama işlemi gerçekleştirir."
Güncelleme
Yorum almak için ulaşıldığında, JFrog güvenlik araştırmacısı Guy Korolevski, en son etkinlik ile Sahte Yazı Tipi arasındaki benzerlikleri doğruladı ve bunun "muhtemelen önceki kampanyanın bir evrimi" olduğunu ekledi.
Önceki yineleme GitHub kullanıcılarını hedef alırken, yeni kampanya hem npm hem de GitHub'da barındırılan Go'daki kötü amaçlı paketlere odaklanıyor. Korolevski, "Teslimat sistemi değişti ve bir ölü bırakma mekanizması olarak halka açık blockchain altyapısına geçti ve bunun cazibesi hem npm hem de Go'daki kötü amaçlı paketler." dedi.
(Hikaye yayınlandıktan sonra JFrog'un yanıtını içerecek şekilde güncellendi.)