“coa” ve “rc” NPM Paketlerinde Backdoor Tespit Edildi

Açık kaynaklı yazılım havuzlarını hedef alan bir başka tedarik zinciri saldırısı örneğinde, haftalık yaklaşık 22 milyon indirmeye sahip iki popüler NPM paketinin, ilgili geliştiricinin hesaplarına yetkisiz erişim elde ederek zararlı kodlar enjekte edilmesiyle güvenliğinin ihlal edildiği tespit edilmiştir. (Referans Linki)

Söz konusu iki kitaplık, komut satırı seçenekleri için bir ayrıştırıcı olan “coa” ve bir yapılandırma yükleyicisi olan “rc”dir. Her iki paket de aktörlerinin bir paket geliştiricinin hesabına erişmesiyle yaklaşık olarak aynı anda ele geçirilmiştir. Geliştirici hesabına erişim elde eden tehdit aktörleri, işletim sistemi ayrıntılarını kontrol edecek ve bir Windows batch script veya Linux bash komut dosyası indirecek olan bir komut dosyası eklemiştir. Güvenliği ihlal edilmiş paketler, Windows Defender’a göre Qakbot truva atının bir sürümünü içeren bir DLL dosyasını indirmekte ve çalıştırmaktadır.

Güvenlik ihlali coa 2.0.3 ve tüm üst sürümlerini etkilemektedir. Virüslü paketlerin indirilmesiyle oluşabilecek saldırı risklerine karşı ilgili paketlerin kaldırılması, etkilenen sistemlerden zararlı yazılımların temizlenmesi, 2.0.2 sürümüne geçilmesi ve sistemlerde şüpheli etkinlik olup olmadığının kontrol edilmesi tavsiye edilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!