Giriş
Son dönemde, Paysafe, Skrill ve Neteller gibi ödeme uygulamalarının SDK'larını hedef alan sahte paketler, Node Package Manager (npm) ve Python Package Index (PyPI) platformlarında yaygınlaşmıştır. Bu paketler, geliştiricilerin ve kullanıcıların kimlik bilgilerini çalmak amacıyla tasarlanmış stealer malware (çalma kötücül yazılımı) içermektedir.
Saldırganlar, meşru SDK'ların taklitlerini oluşturarak, geliştiricilerin projelerine dahil etmelerini sağlamış ve ardından sistemlere sızmıştır. Bu makalede, saldırının nasıl gerçekleştiği, tespit yöntemleri ve çözüm adımları detaylı olarak ele alınacaktır.
Saldırının Mekanizması
1. Sahte Paketlerin Yayınlanması
Saldırganlar, npm ve PyPI platformlarında, meşru ödeme SDK'larının isimlerini ve versiyonlarını taklit eden paketler yayınlamıştır. Örneğin:
paysafe-sdkyerinepaysafe-sdk-maliciousgibi isimler kullanılmıştır.- Paket açıklamalarında, "Resmi Paysafe SDK'sı" gibi yanıltıcı ifadeler yer almıştır.
Bu paketler, GitHub gibi açık kaynaklı platformlarda da yaygınlaştırılarak, geliştiricilerin dikkatini çekmeye çalışılmıştır.
2. Stealer Malware'in Enjekte Edilmesi
Sahte paketler, Python ve JavaScript kodlarını içermekte olup, bu kodlar aşağıdaki işlemleri gerçekleştirmektedir:
- Kimlik bilgilerinin çalınması: Kullanıcıların tarayıcılarındaki çerezleri, oturum bilgilerini ve ödeme bilgilerini kaydetmektedir.
- Sistem bilgilerinin toplanması: İşletim sistemi, kullanıcı adı, IP adresi gibi veriler saldırganlara gönderilmektedir.
- Arka kapı oluşturulması: Saldırganlar, uzaktan komut çalıştırmak için sistemlere erişim sağlayabilmektedir.
3. Dağıtım ve Etki Alanı
Bu saldırılar, özellikle ödeme uygulamaları kullanan kuruluşlar ve geliştiriciler için ciddi bir tehdit oluşturmaktadır. Etkilenen sistemlerde:
- Kullanıcıların ödeme bilgileri çalınabilir.
- Kurumsal ağlara sızma gerçekleşebilir.
- Yasal ve finansal kayıplar meydana gelebilir.
Tespit ve Doğrulama
1. Paketlerin Kontrol Edilmesi
Aşağıdaki adımlar izlenerek, sahte paketlerin tespit edilmesi mümkündür:
- npm paketleri için:
npm view --jsonBu komut, paketin yayıncısını, indirme sayısını ve diğer meta verileri görüntüler. Şüpheli durumlarda, npmjs.com sitesinde paketin yayıncısını kontrol edin.
- PyPI paketleri için:
pip showBu komut, paketin yayıncısını ve indirme geçmişini görüntüler. PyPI sitesindeki "Release history" bölümünden de doğrulama yapılabilir.
2. Kod Analizi
Şüpheli bir paket tespit edildiğinde, aşağıdaki adımlar izlenmelidir:
- Paketin kaynak kodunu inceleyin:
git clone https://github.com/.git cd npm install # veya pip install -r requirements.txt - Güvenlik araçları kullanın:
- npm:
npm auditkomutu ile güvenlik açıkları tespit edilebilir. - PyPI:
bandit(Python için) veyasemgrepgibi statik analiz araçları kullanılabilir.
- npm:
3. Davranışsal Tespitler
Stealer malware'in varlığı aşağıdaki belirtilerle tespit edilebilir:
- Beklenmedik ağ trafiği (örneğin, veri aktarımı).
- Sistem performansında ani düşüş.
- Tarayıcıda kayıtlı ödeme bilgilerinin kaybolması.
Çözüm ve Temizleme Adımları
1. Etkilenen Paketlerin Kaldırılması
Aşağıdaki komutlar kullanılarak, sahte paketler sistemden kaldırılabilir:
- npm paketleri için:
npm uninstall npm cache clean --force - PyPI paketleri için:
pip uninstall pip cache purge
2. Sistem Temizliği
Stealer malware'in tamamen temizlenmesi için aşağıdaki adımlar izlenmelidir:
- Antivirüs taraması:
- Windows: Windows Defender veya üçüncü parti antivirüs yazılımları kullanın.
# Windows Defender ile taramayı başlat Start-MpScan -ScanType FullScan - Linux:
rkhuntervechkrootkitaraçlarını kullanın.sudo apt install rkhunter chkrootkit sudo rkhunter --check sudo chkrootkit
- Windows: Windows Defender veya üçüncü parti antivirüs yazılımları kullanın.
- Tarayıcı verilerinin temizlenmesi:
- Çerezleri, oturum bilgilerini ve ödeme bilgilerini silin.
- Chrome: Ayarlar → Gizlilik ve güvenlik → Tarama verilerini temizle.
- Firefox: Ayarlar → Gizlilik ve güvenlik → Çerezler ve site verileri.
- Parola değişikliği:
- Tüm çevrimiçi hesapların parolalarını değiştirin.
- Güçlü parolalar kullanın: En az 12 karakter, büyük/küçük harf, sayı ve özel karakter içeren parolalar tercih edin.
# Örnek parola oluşturma (Linux/macOS) pwgen -s 12 1
3. Güvenlik Önlemleri
Uyarı: Sahte paketler sadece npm ve PyPI ile sınırlı değildir. Geliştiriciler, GitHub, GitLab ve diğer açık kaynak platformlarında da dikkatli olmalıdır.
Aşağıdaki önlemler alınarak gelecekteki saldırılardan korunabilirsiniz:
- Paket imzalama: Sadece imzalı paketleri kullanın. Örneğin,
npm cikomutu ile imzalı paketleri doğrulayabilirsiniz. - Çok faktörlü kimlik doğrulama (MFA): Geliştirici hesaplarınızda MFA kullanın.
- Sandbox ortamları: Yeni paketleri test etmek için sanal makineler veya konteynerler kullanın.
- Güvenlik araçları:
Snyk,Dependabotgibi araçlarla sürekli güvenlik taraması yapın.
Sonuç
Sahte Paysafe, Skrill ve Neteller SDK'ları, ödeme uygulamalarına yönelik ciddi bir tehdit oluşturmaktadır. Geliştiriciler ve kullanıcılar, paketleri indirmeden önce doğrulama yapmalı ve güvenlik önlemleri almalıdır. Bu makalede açıklanan adımlar, saldırıların tespit edilmesi ve temizlenmesi için rehber niteliğindedir. Gelecekteki saldırılardan korunmak için sürekli izleme ve güncel güvenlik araçları kullanılması önemlidir.
Kaynak: BleepingComputer



