Kuzey Kore Bağlantılı npm Paketleri, Geliştirici Sırlarını Çalmak İçin Toplama Çoklu Doldurmalarını Taklit Ediyor Yazılım

Kuzey Kore Bağlantılı npm Paketleri, Geliştirici Sırlarını Çalmak İçin Toplama Çoklu Doldurmalarını Taklit Ediyor

Kuzey Kore ile bağlantısı olan tehdit aktörleri, uzaktan erişimi ve veri hırsızlığını kolaylaştırmak için Toplama çoklu doldurma aracı gibi görünen bi...

Kuzey Kore ile bağlantısı olan tehdit aktörleri, uzaktan erişimi ve veri hırsızlığını kolaylaştırmak için Toplama çoklu doldurma aracı gibi görünen bir dizi yeni kötü amaçlı npm paketiyle ilişkilendirildi.

JFrog'a göre "rollup-packages-polyfill-core" ve "rollup-runtime-polyfill-core" paketleri, açıklamaya, depo meta verilerine ve paket şekline kadar meşru "rollup-plugin-polyfill-node" projesini taklit ediyor.

JFrog, kampanyanın teknik bir yazısında, "Benzer paketler kendilerini aynı toplama, çoklu doldurma, çekirdek ve düğüm adlandırma alanına yerleştiriyor; bu da hızlı bir bağımlılık incelemesi sırasında makul görünebilir." dedi.

Gelecekte Ne Bekleniyor?

Kampanya aynı zamanda npm kayıt defterinden kaldırılan dört paketi daha içeriyor:

Detaylar ve Etkileri

toplama-eklentisi-polyfill-bağlantısı

Sonuç ve Değerlendirme

hızlı ayrıştırma akışı

Burada dikkate değer olan şey, "toplama-paketleri-polyfill-çekirdeği"nin "hızlı ayrıştırma akışını" kurması ve yüklemesi, "toplama-çalışma zamanı-polyfill-çekirdeği" yüklemeleri ve "ilginç token"ı yüklemesidir. Benzer şekilde, "react-icon-svgs"nin ikinci aşama olarak "rollup-plugin-polyfill-connect" kurulumunu yaptığı bulunmuştur.

Teknik Analiz

Siber güvenlik şirketi, "İkinci aşama paketler, JSONKeeper'dan bir JSON nesnesi alan ve model alanını değerlendiren neredeyse aynı SVG yardımcı programlarıdır" dedi. "Benzer adlar, yasal görünen meta veriler, gizli kurulum zamanı yürütmesi, ortam kontrolleri ve kimlik bilgisi hırsızlığı/uzaktan erişim yükleriyle birlikte bu katmanlı yapı, önceki Kuzey Kore Lazarus bağlantılı npm kampanyalarına benzer."

Kuzey Koreli tehdit aktörlerinin Toplu çoklu doldurma araçlarını taklit eden npm paketleri yükledikleri ilk sefer olmadığını burada vurgulamakta fayda var. Nisan 2026'da Panther, Contagious Interview ile bağlantısı olduğu bilinen iki kötü amaçlı yazılım ailesi olan BeaverTail ve OtterCookie'yi sunmak için 261 sürümü kapsayan 108 kötü amaçlı npm paketinin yayınlanmasını içeren sürekli bir npm kampanyasının ayrıntılarını verdi. Bu paketler arasında 20 Mart 2026'da yayınlanan "rollup-plugin-polyfill-route" da vardı.

Nasıl Önlem Alınmalı?

Saldırının başlangıç noktası, "rollup-packages-polyfill-core" (veya "rollup-runtime-polyfill-core") içinde gizlenen "swift-parse-stream" (veya "quirky-token") için Base64 kodlu bir npm kurulum komutudur. İki ikinci aşama paketi, SVG temizleme yardımcı programları gibi giyinirken, bir JavaScript kötü amaçlı yazılımını almak ve yürütmek için bir JSON Keeper URL'sine ulaşıyor.

Sistem Güvenliği

JavaScript kodu, bulut geliştirme ortamlarında, korumalı alanlarda, sunucusuz çalışma zamanlarında ve analiz altyapısında yürütmeyi önlemek için kontroller çalıştırır. Kötü amaçlı yazılım bu kapıyı geçtikten sonra gerekli bağımlılıkları yükler ve şifrelenmiş bir JavaScript verisi almak için harici bir sunucuya ("216.126.236[.]244") ulaşır.

Şifresi çözülen veri daha sonra, etkileşimli terminal oturumlarını, komut yürütmeyi, ekran görüntüsü yakalamayı, işlemi sonlandırmayı, "@nut-tree-fork/nut-js" paketini kullanarak yalnızca Windows'ta fare hareketi, tıklamaları, kaydırmayı, klavyeye basmaları ve kısayol tuşlarını desteklemek için güvenliği ihlal edilmiş ana bilgisayara uzaktan erişim sağlamaktan sorumlu ek komut dosyaları için bir yükleyici görevi görür; ayrıca web tarayıcılarından ve kripto para cüzdanlarından veri çalmak, belirli uzantılarla eşleşen dosyaları toplamak ve periyodik olarak pano içeriğini yakalamak.

Özellikler OtterCookie'ninkilerle örtüşüyor; uzaktan fare ve klavye kontrolü için "@nut-tree-fork/nut-js" kullanımı, SafeDep tarafından Nisan 2026'da ayrıntılı olarak açıklanan "express-session-js" adlı pakette de gözlemleniyor. Dosya toplayıcı bileşeninin, AWS, Microsoft Azure, Google Gemini, Anthropic gibi geliştirici ve AI araç yapılandırmalarının yanı sıra özellikle Microsoft Visual Studio Code, Windsurf ve Cursor ile ilişkili düzenleyici geçmişini aradığı bulunmuştur. Claude, Foundry, SSH ve Z kabuğu (Zsh).

Önemli Gelişmeler

JFrog, "Toplama eklentileri genellikle yerel yapılandırma dosyalarından, geliştirici iş istasyonlarından ve CI işlerinden yüklenir" dedi. "Bu ortamlar genellikle kaynak kodu, npm belirteçleri, Git kimlik bilgileri, bulut anahtarları, SSH anahtarları, tarayıcı verileri ve proje sırları gibi hassas varlıklara erişime sahiptir."

"Yük aynı zamanda basit bir indiriciden daha geniştir. Daha sonraki aşamalar çalıştırıldığında saldırgan hem toplama hem de kontrol yetenekleri kazanır. Bu, yükün API anahtarlarının, SSH anahtarlarının, cüzdan malzemesinin, bulut kimlik bilgilerinin ve proje sırlarının sıklıkla mevcut olduğu geliştirici iş istasyonları ve yapım makineleri ile alakalı olmasını sağlar."

Açıklama, Checkmarx, SafeDep ve AWS güvenlik araştırmacısı Chi Tran'ın açık verileri zehirlemeyi amaçlayan çok sayıda yazılım tedarik zinciri saldırısının keşfedilmesiyle aynı zamana denk geliyor. kaynak paket depolarımız ve değerli verilerin çalınması -

Uzmanların Görüşleri

Kasım 2025 ile Haziran 2026 arasında birden fazla kimlik altında faaliyet gösteren bir tehdit aktörü tarafından yayınlanan, truva atı haline getirilmiş en az sekiz "pyrogram" çatalından oluşan bir küme; saldırgan tarafından gönderilen isteğe bağlı Python kodunu veya kabuk komutlarını çalıştırarak virüslü PyPI paketini çalıştıran herhangi bir sunucu üzerinde tam uzaktan kontrol sağlayan gizli bir arka kapı da dahil. Komut yürütmenin sonuçları Telegram aracılığıyla sızdırılır. Faaliyet, Checkmarx tarafından Donanma Hayaleti Operasyonu olarak kodlandı.

DeFi geliştiricilerini kripto cüzdan kasalarını, tarayıcı kimlik bilgilerini, SSH anahtarlarını, AWS kimlik bilgilerini, npm belirteçlerini, Docker yapılandırmalarını, kabuk geçmişini ve şifre yöneticisi veritabanlarını okuyan bir JavaScript bilgi hırsızı sunmayı hedefleyen, 10 npm bakımcı hesapları tarafından yayınlanan Polymarket araçlarını ve genel matematik kitaplıklarını taklit eden 30 npm paketten oluşan bir küme.

~/.ssh, ~/.aws/credentials, ~/.kube/config, ~/.docker/config.json, ~/.npmrc, ~/.netrc, ~/.pgpass, ~/.git-credentials, ~/.env ve kabuk geçmişini kontrol eder ve verileri dışarı çıkarır.

Veri ihlali izleme aracı olduğunu iddia eden ancak komutlar için harici bir sunucuyu ("142.93.211[.]30:5000") periyodik olarak yoklayan ve SSH özel anahtarlarını, AWS kimlik bilgilerini, Docker/npm/PyPI/git belirteçlerini, .env dosyalarını ve tarayıcı kimlik bilgisi veritabanlarını aynı sunucuya sızdıran bir arka kapı başlatmak için kod barındıran "security-alerts-sdk" adlı bir Python paketi.

13 npm kapsamları altında çalışan tek bir tehdit aktörü tarafından yayınlanan, GitHub'da barındırılan Rust tarafından derlenmiş bir ELF ikili dosyasının indirilmesinden ve yürütülmesinden sorumlu bir kurulum sonrası JavaScript yükünü tetikleyen 15 npm paketten oluşan bir küme. Bu küme, daha sonra kripto para cüzdanlarından, web tarayıcılarından ve bulut sağlayıcı belirteçleri, SSH anahtarları, mesajlaşma platformu oturumları, veritabanı istemci yapılandırmaları ve geliştirici kimlik bilgileri dahil olmak üzere diğer uygulamalardan çok çeşitli verileri toplar.

"Olaylar" paketini yanlış yazan ve koşullu olarak bir kripto para birimi cüzdan hırsızı oluşturan, Slack ve Telegram üzerinden ana bilgisayar keşif verilerini sızdıran, çift yönlü bir Slack komut kanalı açan ve ölü bırakma çözümleyicisi olarak kullanılan bir Ethereum akıllı sözleşmesindeki yapılandırma ve yük parçalarını okuyan, "events-runtime" adlı bir npm paketi. Kötü amaçlı mantık yalnızca olay kimliği "eventId0" olduğunda tetiklenir.

Bulut hizmeti sağlayıcısının kimlik bilgilerini çalan, geliştirici sırlarını ve CI/CD ortamlarını tarayan, dahili ağ keşfi gerçekleştiren ve verileri saldırgan tarafından kontrol edilen Cloudflare Workers uç noktasına sızdıran "o3forms" adlı bir npm paketi. Tran, "Saldırgan, saldırıyı kasıtlı olarak zararsız, kayıt defteri tarafından yayınlanan bir pakete ve hem kurulum kancalarını hem de gerçek kötü amaçlı yazılımı taşıyan GitHub'a sabitlenmiş *-utils alt bağımlılığına böldü" dedi. "Bu yapı, kayıt defteri tarafı ve CI tarafı araçlarının çoğunun dayandığı statik ve yaşam döngüsü komut dosyası taramasını yenmek için özel olarak tasarlanmıştır."

Yukarıda belirtilen paketlerden herhangi birini kuran kullanıcılara, bunları iş istasyonlarından kaldırmaları, güvenliği ihlal ettiklerini varsaymaları ve kimlik bilgilerini döndürmeleri, kötü amaçlı çıkış kanallarını engellemeleri ve yeni yayınlanan veya şüpheli paketleri işaretlemek için CI/CD işlem hatlarında bağımlılık taramasını etkinleştirmeleri önerilir.

Paylaş: