tedarik zinciri
“Bakso”, ‘sate’ ve “rendang” kelimeleri size neyi çağrıştırıyor? Çoğu kişi için cevap “hiçbir şey”dir; yemek meraklıları ise bunları Endonezya mutfağının vazgeçilmezleri olarak bilir; siber güvenlik haberlerini takip edenler ise Node Package Manager (npm) ekosistemine yönelik bir saldırıyı hatırlayacaktır. Bu araç, geliştiricilerin her satır kodunu sıfırdan yazmak yerine önceden oluşturulmuş kütüphaneleri kullanmalarını sağlar.
Kasım ortasında, güvenlik araştırmacısı Paul McCarty, npm kayıt defterini doldurmayı amaçlayan bir spam saldırı kampanyası keşfettiğini bildirdi. Elbette, kayıt defterinde daha önce de anlamsız paketler ortaya çıkmıştı, ancak bu durumda on binlerce modülün hiçbir yararlı işlevi olmadığı tespit edildi. Tek amaçları, projelere tamamen gereksiz bağımlılıklar eklemekti.
Ambalajların üzerinde bakso, sate ve rendang gibi rastgele seçilmiş Endonezya yemek isimleri ve mutfak terimleri yer alıyordu; bu nedenle saldırı kampanyası “IndonesianFoods” adını aldı. Büyüklüğü etkileyiciydi; keşfedildiği sırada yaklaşık 86.000 paket tespit edilmişti.
Aşağıda, bunun nasıl gerçekleştiğini ve saldırganların asıl amacının ne olduğunu ayrıntılı olarak ele alıyoruz.
IndonesianFoods’un içeriği
İlk bakışta, IndonesianFoods paketleri açıkça abur cubur gibi görünmüyordu. Standart yapıları, geçerli yapılandırma dosyalarını ve hatta düzgün biçimlendirilmiş belgeleri içeriyorlardı. Endor Labs’teki araştırmacılara göre, bu kamuflaj sayesinde paketler npm kayıt defterinde neredeyse iki yıl boyunca kalabildi.
Saldırganların kendi çalışmalarını dış projelere zorla dahil etmeye çalıştıkları söylenemez. Bunun yerine, ekosistemi görünüşte yasal kodlarla doldurdular ve birinin yazım hatası yapmasını ya da arama sonuçlarından yanlışlıkla kendi kütüphanelerini seçmesini beklediler. Bir paket adını Endonezya yemekleriyle karıştırmak için tam olarak neyi aramak gerektiği pek net değil, ancak orijinal araştırmada en az 11 projenin bir şekilde bu paketleri derlemelerine dahil etmeyi başardığı belirtiliyor.
Bu gereksiz paketlerin küçük bir kısmında yerleşik bir kendi kendini çoğaltma mekanizması bulunuyordu; bir kez yüklendikten sonra, her yedi saniyede bir yeni paketler oluşturup bunları npm kayıt defterine yayınlıyorlardı. Bu yeni modüllerin adları rastgele seçilmişti (bunlar da Endonezya mutfağıyla ilgiliydi) ve sürüm numaraları da vardı. Beklendiği gibi, hepsi kurbanın kimlik bilgilerini kullanarak yayınlanmıştı.
Diğer kötü amaçlı paketler TEA blockchain platformuyla entegre oldu. TEA projesi, açık kaynak kodlu yazılım geliştiricilerini, kodlarının popülerliği ve kullanım sıklığına orantılı olarak belirteçlerle ödüllendirmek üzere tasarlanmıştır. Teorik olarak, proje “Katkı Kanıtı” modeline göre işler.
Bu paketlerin önemli bir kısmı hiçbir işlevsellik içermiyordu, ancak çoğu zaman bir düzine bağımlılık barındırıyordu. Tahmin edebileceğiniz gibi, bu bağımlılıklar aynı saldırı kampanyası kapsamındaki diğer spam projelerine yönlendiriyordu. Dolayısıyla, bir kullanıcı yanlışlıkla bu kötü amaçlı paketlerden birini yüklediğinde, bu paket kendi bağımlılıklarına sahip olan diğer birçok paketi de beraberinde getirdi. Sonuçta, son proje aşırı miktarda gereksiz kodla dolup taşmış hale geldi.
Saldırganların bundan ne kazancı var?
Bu konuda iki temel teori vardır. En bariz olanı, bu ayrıntılı spam saldırı kampanyasının tamamının, yukarıda bahsedilen TEA iletişim kuralını istismar etmek amacıyla tasarlanmış olmasıdır. Esasen, saldırganlar açık kaynak topluluğuna herhangi bir yararlı katkı sağlamadan TEA belirteçleri kazanırlar. Bu belirteçler, borsalarda diğer kripto para birimleriyle takas edilebilen standart dijital varlıklardır. Saldırganlar, bir dizi bağımlılık ve kendi kendini çoğaltma mekanizması kullanarak, yasal açık kaynak geliştiricileri gibi davranarak paketlerinin önemini ve kullanım istatistiklerini yapay olarak şişiriyorlar. Bazı paketlerin README dosyalarında saldırganlar, kazandıkları parayla bile övünüyorlar.
Ancak, daha tüyler ürpertici bir teori var. Örneğin, araştırmacı Garrett Calpouzos, şu anda gördüğümüz şeyin yalnızca bir kavram kanıtı olduğunu öne sürüyor. IndonesianFoods saldırı kampanyası, daha sonra diğer siber suçlulara satılmak üzere tasarlanmış yeni bir kötü amaçlı yazılım dağıtım yöntemini deniyor olabilir.
Projelerinizde neden gereksiz ögeler istemezsiniz?
İlk bakışta, yazılım geliştirme kuruluşları için tehlike açıkça görülmeyebilir: Elbette, IndonesianFoods ekosistemi karmaşıklaştırıyor, ancak fidye yazılımı veya veri ihlalleri gibi acil bir tehdit oluşturuyor gibi görünmüyor. Ancak, gereksiz bağımlılıklar kodun boyutunu artırır ve geliştiricilerin sistem kaynaklarını boşa harcar. Ayrıca, kuruluşunuzun adı altında yayınlanan gereksiz paketler, geliştirici topluluğu içindeki itibarınızı ciddi şekilde zedeleyebilir.
Calpouzos’un teorisini de göz ardı edemeyiz. Yazılımınıza yüklenen bu spam paketleri, gerçekten zararlı işlevler içeren bir güncelleme aldıkları takdirde, sadece kuruluşunuz için değil, kullanıcılarınız için de bir tehdit haline gelebilir ve tam anlamıyla bir tedarik zinciri saldırısına dönüşebilir.
Kuruluşunuzu nasıl koruyabilirsiniz?
Spam paketleri bir projeye kendiliğinden girmez; bunların yüklenmesi, geliştiricinin bir anlık dikkatsizliğine bağlıdır. Bu nedenle, çalışanlar arasında (teknoloji konusunda bilgili olanlar dahil) modern siber tehditler konusunda düzenli olarak farkındalık yaratılmasını öneriyoruz. Etkileşimli eğitim platformumuz KASAP (Kaspersky Otomatik Güvenlik Farkındalık Platformu) bu konuda size yardımcı olabilir.
Ayrıca, kapsayıcı tabanlı ortamları korumak için özel bir çözüm kullanarak enfeksiyonu önleyebilirsiniz. Görüntüleri ve üçüncü taraf bağımlılıkları tarar, derleme sürecine entegre olur ve çalışma sırasında kapsayıcıları izler.
Tedarik zinciri saldırıları hakkında daha fazla bilgi edinmek isterseniz, Tedarik Zinciri Reaksiyonu: Karşılıklı Bağımlılık Çağında Küresel Dijital Ekosistemin Güvenliği başlıklı analiz raporumuzu incelemenizi öneririz. Bu rapor, teknik uzmanların görüşlerine dayalı olup, kuruluşların tedarik zinciri ve güvenilirlik riskleriyle ne sıklıkla karşılaştıklarını ve bu riskleri nasıl algıladıklarını ortaya koymaktadır.
İpuçları