jscrambler NPM Paketi Tehlikeye Atıldı: Rust Tabanlı Bilgi Hırsızı Yükleniyor Siber Güvenlik

jscrambler NPM Paketi Tehlikeye Atıldı: Rust Tabanlı Bilgi Hırsızı Yükleniyor

jscrambler 8.14.0 NPM sürümü, kurulumda çalışan Rust tabanlı bir bilgi hırsızı içeriyor. AWS, Azure, Google Cloud kimlik bilgileri ve AI araçlarını he

Popüler JavaScript kod karıştırma aracı jscrambler'ın 8.14.0 sürümü, NPM üzerinde yayınlandıktan kısa süre sonra güvenlik araştırmacıları tarafından ele geçirildiği tespit edildi. 11 Temmuz 2026'da yayınlanan bu sürüm, paket yüklendiğinde otomatik olarak çalışan bir ön yükleme kancası (preinstall hook) içeriyor. Bu kancanın çalıştırdığı ikili dosya, Windows, macOS ve Linux için ayrı ayrı derlenmiş Rust tabanlı bir bilgi hırsızı (infostealer). Socket güvenlik şirketi, yayından sadece altı dakika sonra bu kötü amaçlı sürümü işaretledi. Eğer bu zaman diliminde paketi yüklediyseniz, zararlı yazılım zaten çalışmış olabilir.

Önceki sürüm 8.13.0'da bulunmayan bu tehdit, iki yeni dosya ile geliyor: dist/ altındaki setup.js ve intro.js. İsmine rağmen intro.js bir JavaScript dosyası değil; yaklaşık 7,8 MB boyutunda ve gzip ile sıkıştırılmış üç farklı platform ikili dosyasını içeren bir konteyner. Kurulum sırasında setup.js, işletim sistemini algılayarak ilgili ikili dosyayı seçiyor, rastgele bir isimle geçici dizine yazıyor, çalıştırma izni veriyor ve çıktısını gizleyerek arka planda çalıştırıyor.

Bu dosyalar yayınlanan NPM paketinde bulunmasına rağmen jscrambler'ın GitHub deposunda hiçbir yerde mevcut değil. StepSecurity ve SafeDep gibi güvenlik firmaları, GitHub'da 8.14.0 sürümüne karşılık gelen herhangi bir commit, tag veya pull request bulamadı. En son tag hala 8.13.0. Sürüm, meşru bir bakıcı hesabından doğrudan NPM'e itilmiş, bu da hesabın veya CI/CD hattının ele geçirildiğini gösteriyor.

Uzmanların Görüşleri

Rust tabanlı bilgi hırsızı, geliştirici makinelerini hedef alarak geniş bir veri yelpazesini çalıyor. AWS, Azure ve Google Cloud kimlik bilgileri, CI runner'ların kullandığı metadata uç noktaları, MetaMask, Phantom ve Exodus gibi kripto para cüzdanları, Bitwarden şifre yöneticisi, tarayıcı şifreleri ve çerezleri, Discord, Slack, Telegram ve Steam oturumları hedef listesinde. Ayrıca Claude Desktop, Cursor, Windsurf, VS Code ve Zed gibi AI kodlama araçlarının yapılandırma dosyaları da hedefleniyor; bu dosyalar genellikle API anahtarları ve Model Context Protocol sunucu kimlik bilgilerini içeriyor.

Detaylar ve Etkileri

Linux sürümünde, zararlı yazılım çekirdeğin BPF kütüphanesine bağlanarak bellekten bir eBPF programı yükleyebiliyor. Bu, kullanıcı alanı dosya erişiminin ötesinde çekirdek seviyesinde bir tutunma noktası sağlıyor. Windows ve macOS sürümleri anti-debugging kontrolleri içeriyor ve kalıcılık mekanizmaları ekliyor: Windows'ta her dakika çalışan gizli bir görev, macOS'ta ise oturum açıldığında yeniden yüklenen bir LaunchAgent. Komuta ve kontrol detayları ikili dosyada şifrelenmiş durumda ve statik analizde görünmüyor.

Nasıl Önlem Alınmalı?

StepSecurity'in çalışma zamanı izlemesi, ikili dosyanın iki sabit IP adresine ve Tor altyapısına bağlandığını tespit etti. jscrambler genellikle bir geliştirme bağımlılığı olarak veya CI ortamında çalıştırıldığından, bu ortamlar bilgi hırsızının hedeflediği bulut anahtarları, dağıtım token'ları ve kaynak koduna erişebiliyor. Paket haftada yaklaşık 15.800 kez indiriliyor; kaçının kötü amaçlı sürümü çektiği henüz bilinmiyor.

NPM 12 sürümü, bu olaydan üç gün önce, 8 Temmuz'da yayınlanmış ve bağımlılık kurulum betiklerini varsayılan olarak devre dışı bırakmıştı. Ancak eski sürümler bu betikleri otomatik çalıştırmaya devam ediyor. Şu anda NPM'de 8.15.0 sürümü mevcut ve kötü amaçlı kod içermiyor, ancak 8.14.0 hala yayında. Kullanıcıların derhal 8.15.0'a veya 8.13.0'a geçmeleri, lockfile ve önbelleklerden 8.14.0'ı temizlemeleri öneriliyor. Ayrıca CI kayıtlarında dist/setup.js çalıştırılıp çalıştırılmadığı kontrol edilmeli. Windows'ta Görev Zamanlayıcı, macOS'ta LaunchAgents denetlenmeli. Eğer 8.14.0 çalıştırıldıysa, tüm erişilebilir sırlar (bulut anahtarları, token'lar, API anahtarları) döndürülmeli, oturumlar iptal edilmeli ve kripto varlıklar taşınmalıdır.

Kaynak: thehackernews.com

Paylaş: