Son dönemde siber güvenlik araştırmacıları, Visual Studio Code’un görev sistemini (VS Code Tasks) kullanarak bir Python tabanlı bilgi hırsızı dağıtan tehlikeli npm ve Go paketleri keşfetti. Bu saldırı, özellikle Windows, Linux ve macOS sistemlerine yönelik olup, geliştiricilerin projelerine dahil ettikleri paketler aracılığıyla gizlice yayılıyor.
JFrog tarafından yapılan açıklamada, saldırganların bu paketleri npm lifecycle script’leri yerine VS Code görevleri aracılığıyla çalıştırarak daha az tespit edilebilir olmayı hedefledikleri belirtildi. Bu yöntem, özellikle npm v12’nin güvenlik iyileştirmeleriyle uyumlu kalmayı amaçlayarak, paketlerin kurulum sonrası otomatik olarak devreye girmesini sağlıyor.
Saldırının İşleyiş Mekanizması
Saldırıda kullanılan paketler, geliştiricilerin projelerine dahil etmeleri durumunda, sistemdeki hassas verileri çalmayı amaçlıyor. Tehdit aktörleri, bu paketleri orijinaline benzer isimlerle (örneğin, @angular/core gibi popüler paketlerin taklitleri) yayınlayarak, geliştiricilerin dikkatsizce yüklemelerini sağlıyor.
VS Code görevleri kullanımı, saldırının en dikkat çekici yönlerinden biri. Normalde npm paketleri, postinstall gibi lifecycle script’leriyle çalışırken, bu saldırıda paketler, VS Code’un task.json dosyasına eklenen komutlar aracılığıyla devreye giriyor. Bu sayede, güvenlik denetimlerinden kaçınmayı ve paketlerin daha uzun süre tespit edilmeden faaliyet göstermesini hedefliyorlar.
Etkilenen Sistemler ve Tehditler
Saldırıdan etkilenen sistemler arasında:
- Windows: Kullanıcı verileri, tarayıcı çerezleri ve oturum bilgileri hedef alınıyor.
- Linux: Sistem dosyaları ve kullanıcı kimlik bilgileri çalınıyor.
- macOS: Apple Keychain verileri ve diğer hassas bilgiler risk altında.
Python tabanlı bu bilgi hırsızı, sistemdeki klavye girişlerini kaydetmek, ekran görüntüleri almak ve ağ trafiğini izlemek gibi ileri düzey veri toplama yöntemlerine sahip. Toplanan veriler, genellikle uzaktan komut çalıştırma (RCE) saldırıları için kullanılarak, kurbanın sistemine daha fazla zarar verilmesine yol açabiliyor.
Korunma Yöntemleri ve Öneriler
Bu tür saldırılardan korunmak için geliştiricilerin ve kullanıcıların aşağıdaki adımları izlemesi gerekiyor:
- Paket kaynaklarını doğrulayın: Sadece resmi npm ve Go modülleri kullanın. Paket adlarının doğru yazıldığından emin olun.
- VS Code görevlerini inceleyin:
task.jsondosyalarınızı düzenli olarak kontrol edin ve bilinmeyen komutlar bulundurmayın. - Güvenlik araçlarını kullanın: npm audit ve Go modül güvenlik denetimleri yaparak paketlerinizdeki riskleri tespit edin.
- Sistem güncellemelerini takip edin: İşletim sisteminizi ve güvenlik yazılımlarınızı sürekli olarak güncel tutun.
- Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirin: Hesaplarınızı korumak için MFA kullanın ve şüpheli aktiviteleri hemen rapor edin.
Sonuç
VS Code görevleri aracılığıyla yapılan bu saldırı, geliştiricilerin projelerini güvende tutmak için daha dikkatli olmaları gerektiğini bir kez daha gösteriyor. Paket yönetimi ve güvenlik denetimlerinin yanı sıra, geliştirme ortamlarının da sürekli olarak izlenmesi ve güncellenmesi kritik önem taşıyor. Bu tür tehditlere karşı farkındalığı artırmak ve güvenlik en iyi uygulamalarını uygulamak, siber saldırılardan korunmanın en etkili yollarından biri olmaya devam ediyor.
