Yapay Zeka ile Oluşturulan npm Kötü Amaçlı Yazılımı Kendi GitHub Token'ını Sızdırdı Siber Güvenlik

Yapay Zeka ile Oluşturulan npm Kötü Amaçlı Yazılımı Kendi GitHub Token'ını Sızdırdı

Yapay zeka ile oluşturulan bir npm paketi, hardcoded GitHub token'ını sızdırarak araştırmacıların veri hırsızlığını içeriden izlemesine olanak sağladı

Kötü amaçlı bir npm paketi, içinde hardcoded olarak bulunan GitHub token'ını sızdırarak büyük bir güvenlik zaafiyeti sergiledi. Bu hata, araştırmacıların saldırganın veri hırsızlığı operasyonunu içeriden izlemesine olanak tanıdı. OX Security tarafından tespit edilen 'mouse5212-super-formatter' adlı paket, bir bilgi hırsızı (infostealer) olarak çalışıyor ve kurbanın makinesindeki dosyaları okuyarak saldırganın kontrolündeki bir depoya yüklüyordu.

Paket, yüzeyde bir 'archive deployment sync' aracı gibi görünerek GitHub deposunu kontrol eden ve ağ durumu anlık görüntüsü kaydeden bir betik olarak kendini gizliyordu. Ancak OX Security'nin bulgularına göre, kurulum sonrası kod GitHub'a kimlik doğrulaması yapıyor, gerekirse yeni bir depo oluşturuyor ve ardından yerel bir dizini tarayarak tüm dosyaları GitHub Contents API aracılığıyla yüklüyordu. Dikkat çekmemek için çalınan dosyalar rastgele bir klasör adı altında saklanıyor ve sahte 'ağ bağlantıları' günlükleri oluşturuluyordu.

Ölümcül hata, kodda hardcoded olarak bırakılan bir yedek token'dı. Kötü amaçlı yazılım, saldırganın kendi GitHub kimlik bilgisini taşıdığı için araştırmacılar, doğrudan saldırganın deposunda yaklaşık yedi hırsızlık oturumu gözlemleyebildi. Bu oturumların çoğu, saldırganın aracı test ettiği oturumlardı. OX Security, bu olayı yapay zeka ile oluşturulmuş ve temel operasyonel güvenlik bilgisinden yoksun bir saldırganın eseri olarak nitelendirdi.

Sistem Güvenliği

Bu olay, daha geniş bir eğilime işaret ediyor: Çalışan kötü amaçlı kod üretme çabası azaldıkça, araştırmacılar daha az yetenekli aktörler tarafından üretilen düşük kaliteli, yapay zeka destekli kötü amaçlı yazılımların artacağını öngörüyor. Daha önce VoidLink adlı Linux kötü amaçlı yazılımında da benzer bir durum görülmüştü. Savunmacılar için pratik tavsiye değişmiyor: OX Security, paketi yükleyenlerin GitHub erişim token'larını iptal etmelerini ve etkilenen dizindeki hassas dosyaları ele geçirilmiş olarak kabul etmelerini öneriyor.

Paylaş: