Kuzey Kore ile bağlantılı tehdit aktörleri, Rollup polyfill araçlarını taklit eden yeni bir kötü amaçlı npm paketleri setiyle ortaya çıktı. JFrog'un raporuna göre, 'rollup-packages-polyfill-core' ve 'rollup-runtime-polyfill-core' adlı paketler, meşru 'rollup-plugin-polyfill-node' projesini açıklama, depo meta verileri ve paket yapısına kadar taklit ediyor. Bu paketler, hızlı bir bağımlılık incelemesi sırasında ikna edici görünebilecek şekilde aynı rollup, polyfill, core ve node ad alanında konumlanıyor. Ayrıca 'quirky-token', 'react-icon-svgs', 'rollup-plugin-polyfill-connect' ve 'swift-parse-stream' olmak üzere dört paket daha tespit edildi ve tümü npm kaydından kaldırıldı.
Bu kampanyada dikkat çeken nokta, 'rollup-packages-polyfill-core' paketinin 'swift-parse-stream'i yüklemesi ve çalıştırması, 'rollup-runtime-polyfill-core'un ise 'quirky-token'ı yüklemesi. Benzer şekilde 'react-icon-svgs', ikinci aşama olarak 'rollup-plugin-polyfill-connect'i yüklüyor. Bu ikinci aşama paketler, JSONKeeper'dan bir JSON nesnesi alıp 'model' alanını eval ile çalıştıran neredeyse aynı SVG yardımcı programlarıdır. Bu katmanlı yapı, daha önceki Kuzey Kore Lazarus bağlantılı npm kampanyalarıyla benzerlik gösteriyor. Saldırının başlangıç noktası, 'rollup-packages-polyfill-core' (veya 'rollup-runtime-polyfill-core') içinde gizlenmiş Base64 kodlu bir npm install komutudur.
JavaScript kodu, bulut geliştirme ortamları, sanal alanlar, sunucusuz çalışma zamanları ve analiz altyapısında çalışmayı önlemek için kontroller yapıyor. Bu kontrolleri geçtikten sonra, gerekli bağımlılıkları yükleyip harici bir sunucudan ('216.126.236[.]244') şifrelenmiş bir JavaScript yükü alıyor. Çözülen yük, etkileşimli terminal oturumları, komut yürütme, ekran görüntüsü alma, işlem sonlandırma, Windows'ta fare hareketi, tıklama, kaydırma, klavye tuşları ve kısayollar gibi uzaktan erişim özelliklerini sağlayan ek betikler için bir yükleyici görevi görüyor. Ayrıca web tarayıcılarından ve kripto para cüzdanlarından veri çalıyor, belirli uzantılara sahip dosyaları topluyor ve panoyu periyodik olarak okuyor.
Detaylar ve Etkileri
Bu özellikler, daha önce SafeDep tarafından Nisan 2026'da detaylandırılan 'express-session-js' paketinde de görülen OtterCookie ile örtüşüyor. Dosya toplayıcı bileşeni, Microsoft Visual Studio Code, Windsurf ve Cursor ile ilişkili düzenleyici geçmişini ve AWS, Microsoft Azure, Google Gemini, Anthropic Claude, Foundry, SSH ve Z shell (Zsh) gibi geliştirici ve yapay zeka araç yapılandırmalarını hedef alıyor. JFrog, Rollup eklentilerinin genellikle yerel yapılandırma dosyalarından, geliştirici iş istasyonlarından ve CI işlerinden yüklendiğini ve bu ortamların kaynak kodu, npm tokenları, Git kimlik bilgileri, bulut anahtarları, SSH anahtarları, tarayıcı verileri ve proje sırları gibi hassas varlıklara erişimi olduğunu vurguluyor. Bu saldırı, yazılım tedarik zinciri saldırılarının geliştiricileri hedef alan tehlikesini bir kez daha gözler önüne seriyor.