Paysafe, Skrill ve Neteller SDK'larının Saldırıya Uğraması: NPM ve PyPI'deki Sahte Paketler

NPM ve PyPI platformlarında yayınlanan sahte Paysafe, Skrill ve Neteller SDK paketleri, geliştiricilerin ve kullanıcıların kimlik bilgilerini çalmaya çalıştı. Detaylı inceleme ve çözüm önerileri.

I
ITWISE
3 görüntülenme
Paysafe, Skrill ve Neteller SDK'larının Saldırıya Uğraması: NPM ve PyPI'deki Sahte Paketler

Giriş

Son dönemde, Paysafe, Skrill ve Neteller gibi ödeme uygulamalarının SDK'larını hedef alan sahte paketler, Node Package Manager (npm) ve Python Package Index (PyPI) platformlarında yaygınlaşmıştır. Bu paketler, geliştiricilerin ve kullanıcıların kimlik bilgilerini çalmak amacıyla tasarlanmış stealer malware (çalma kötücül yazılımı) içermektedir.

Saldırganlar, meşru SDK'ların taklitlerini oluşturarak, geliştiricilerin projelerine dahil etmelerini sağlamış ve ardından sistemlere sızmıştır. Bu makalede, saldırının nasıl gerçekleştiği, tespit yöntemleri ve çözüm adımları detaylı olarak ele alınacaktır.

Saldırının Mekanizması

1. Sahte Paketlerin Yayınlanması

Saldırganlar, npm ve PyPI platformlarında, meşru ödeme SDK'larının isimlerini ve versiyonlarını taklit eden paketler yayınlamıştır. Örneğin:

  • paysafe-sdk yerine paysafe-sdk-malicious gibi isimler kullanılmıştır.
  • Paket açıklamalarında, "Resmi Paysafe SDK'sı" gibi yanıltıcı ifadeler yer almıştır.

Bu paketler, GitHub gibi açık kaynaklı platformlarda da yaygınlaştırılarak, geliştiricilerin dikkatini çekmeye çalışılmıştır.

2. Stealer Malware'in Enjekte Edilmesi

Sahte paketler, Python ve JavaScript kodlarını içermekte olup, bu kodlar aşağıdaki işlemleri gerçekleştirmektedir:

  1. Kimlik bilgilerinin çalınması: Kullanıcıların tarayıcılarındaki çerezleri, oturum bilgilerini ve ödeme bilgilerini kaydetmektedir.
  2. Sistem bilgilerinin toplanması: İşletim sistemi, kullanıcı adı, IP adresi gibi veriler saldırganlara gönderilmektedir.
  3. Arka kapı oluşturulması: Saldırganlar, uzaktan komut çalıştırmak için sistemlere erişim sağlayabilmektedir.

3. Dağıtım ve Etki Alanı

Bu saldırılar, özellikle ödeme uygulamaları kullanan kuruluşlar ve geliştiriciler için ciddi bir tehdit oluşturmaktadır. Etkilenen sistemlerde:

  • Kullanıcıların ödeme bilgileri çalınabilir.
  • Kurumsal ağlara sızma gerçekleşebilir.
  • Yasal ve finansal kayıplar meydana gelebilir.

Tespit ve Doğrulama

1. Paketlerin Kontrol Edilmesi

Aşağıdaki adımlar izlenerek, sahte paketlerin tespit edilmesi mümkündür:

  1. npm paketleri için:
    npm view  --json

    Bu komut, paketin yayıncısını, indirme sayısını ve diğer meta verileri görüntüler. Şüpheli durumlarda, npmjs.com sitesinde paketin yayıncısını kontrol edin.

  2. PyPI paketleri için:
    pip show 

    Bu komut, paketin yayıncısını ve indirme geçmişini görüntüler. PyPI sitesindeki "Release history" bölümünden de doğrulama yapılabilir.

2. Kod Analizi

Şüpheli bir paket tespit edildiğinde, aşağıdaki adımlar izlenmelidir:

  1. Paketin kaynak kodunu inceleyin:
    git clone https://github.com/.git
    cd 
    npm install  # veya pip install -r requirements.txt
  2. Güvenlik araçları kullanın:
    • npm: npm audit komutu ile güvenlik açıkları tespit edilebilir.
    • PyPI: bandit (Python için) veya semgrep gibi statik analiz araçları kullanılabilir.

3. Davranışsal Tespitler

Stealer malware'in varlığı aşağıdaki belirtilerle tespit edilebilir:

  • Beklenmedik ağ trafiği (örneğin, veri aktarımı).
  • Sistem performansında ani düşüş.
  • Tarayıcıda kayıtlı ödeme bilgilerinin kaybolması.

Çözüm ve Temizleme Adımları

1. Etkilenen Paketlerin Kaldırılması

Aşağıdaki komutlar kullanılarak, sahte paketler sistemden kaldırılabilir:

  1. npm paketleri için:
    npm uninstall 
    npm cache clean --force
  2. PyPI paketleri için:
    pip uninstall 
    pip cache purge

2. Sistem Temizliği

Stealer malware'in tamamen temizlenmesi için aşağıdaki adımlar izlenmelidir:

  1. Antivirüs taraması:
    • Windows: Windows Defender veya üçüncü parti antivirüs yazılımları kullanın.
      # Windows Defender ile taramayı başlat
      Start-MpScan -ScanType FullScan
    • Linux: rkhunter ve chkrootkit araçlarını kullanın.
      sudo apt install rkhunter chkrootkit
      sudo rkhunter --check
      sudo chkrootkit
  2. Tarayıcı verilerinin temizlenmesi:
    • Çerezleri, oturum bilgilerini ve ödeme bilgilerini silin.
    • Chrome: Ayarlar → Gizlilik ve güvenlik → Tarama verilerini temizle.
    • Firefox: Ayarlar → Gizlilik ve güvenlik → Çerezler ve site verileri.
  3. Parola değişikliği:
    • Tüm çevrimiçi hesapların parolalarını değiştirin.
    • Güçlü parolalar kullanın: En az 12 karakter, büyük/küçük harf, sayı ve özel karakter içeren parolalar tercih edin.
      # Örnek parola oluşturma (Linux/macOS)
      pwgen -s 12 1

3. Güvenlik Önlemleri

Uyarı: Sahte paketler sadece npm ve PyPI ile sınırlı değildir. Geliştiriciler, GitHub, GitLab ve diğer açık kaynak platformlarında da dikkatli olmalıdır.

Aşağıdaki önlemler alınarak gelecekteki saldırılardan korunabilirsiniz:

  • Paket imzalama: Sadece imzalı paketleri kullanın. Örneğin, npm ci komutu ile imzalı paketleri doğrulayabilirsiniz.
  • Çok faktörlü kimlik doğrulama (MFA): Geliştirici hesaplarınızda MFA kullanın.
  • Sandbox ortamları: Yeni paketleri test etmek için sanal makineler veya konteynerler kullanın.
  • Güvenlik araçları: Snyk, Dependabot gibi araçlarla sürekli güvenlik taraması yapın.

Sonuç

Sahte Paysafe, Skrill ve Neteller SDK'ları, ödeme uygulamalarına yönelik ciddi bir tehdit oluşturmaktadır. Geliştiriciler ve kullanıcılar, paketleri indirmeden önce doğrulama yapmalı ve güvenlik önlemleri almalıdır. Bu makalede açıklanan adımlar, saldırıların tespit edilmesi ve temizlenmesi için rehber niteliğindedir. Gelecekteki saldırılardan korunmak için sürekli izleme ve güncel güvenlik araçları kullanılması önemlidir.

Kaynak: BleepingComputer