\u201cBakso\u201d, \u2018sate\u2019 ve \u201crendang\u201d kelimeleri size neyi \u00e7a\u011fr\u0131\u015ft\u0131r\u0131yor? \u00c7o\u011fu ki\u015fi i\u00e7in cevap \u201chi\u00e7bir \u015fey\u201ddir; yemek merakl\u0131lar\u0131 ise bunlar\u0131 Endonezya mutfa\u011f\u0131n\u0131n vazge\u00e7ilmezleri olarak bilir; siber g\u00fcvenlik haberlerini takip edenler ise Node Package Manager (npm) ekosistemine y\u00f6nelik bir sald\u0131r\u0131y\u0131 hat\u0131rlayacakt\u0131r. Bu ara\u00e7, geli\u015ftiricilerin her sat\u0131r kodunu s\u0131f\u0131rdan yazmak yerine \u00f6nceden olu\u015fturulmu\u015f k\u00fct\u00fcphaneleri kullanmalar\u0131n\u0131 sa\u011flar.<\/p>\n
Kas\u0131m ortas\u0131nda, g\u00fcvenlik ara\u015ft\u0131rmac\u0131s\u0131 Paul McCarty, npm kay\u0131t defterini doldurmay\u0131 ama\u00e7layan bir spam sald\u0131r\u0131 kampanyas\u0131<\/a> ke\u015ffetti\u011fini bildirdi. Elbette, kay\u0131t defterinde daha \u00f6nce de anlams\u0131z paketler ortaya \u00e7\u0131km\u0131\u015ft\u0131, ancak bu durumda on binlerce mod\u00fcl\u00fcn hi\u00e7bir yararl\u0131 i\u015flevi olmad\u0131\u011f\u0131 tespit edildi. Tek ama\u00e7lar\u0131, projelere tamamen gereksiz ba\u011f\u0131ml\u0131l\u0131klar eklemekti.<\/p>\n Ambalajlar\u0131n \u00fczerinde bakso, sate ve rendang gibi rastgele se\u00e7ilmi\u015f Endonezya yemek isimleri ve mutfak terimleri yer al\u0131yordu; bu nedenle sald\u0131r\u0131 kampanyas\u0131 \u201cIndonesianFoods\u201d ad\u0131n\u0131 ald\u0131. B\u00fcy\u00fckl\u00fc\u011f\u00fc etkileyiciydi; ke\u015ffedildi\u011fi s\u0131rada yakla\u015f\u0131k 86.000 paket tespit edilmi\u015fti.<\/p>\n A\u015fa\u011f\u0131da, bunun nas\u0131l ger\u00e7ekle\u015fti\u011fini ve sald\u0131rganlar\u0131n as\u0131l amac\u0131n\u0131n ne oldu\u011funu ayr\u0131nt\u0131l\u0131 olarak ele al\u0131yoruz.<\/p>\n \u0130lk bak\u0131\u015fta, IndonesianFoods paketleri a\u00e7\u0131k\u00e7a abur cubur gibi g\u00f6r\u00fcnm\u00fcyordu. Standart yap\u0131lar\u0131, ge\u00e7erli yap\u0131land\u0131rma dosyalar\u0131n\u0131 ve hatta d\u00fczg\u00fcn bi\u00e7imlendirilmi\u015f belgeleri i\u00e7eriyorlard\u0131. Endor Labs\u2019teki ara\u015ft\u0131rmac\u0131lara<\/a> g\u00f6re, bu kamuflaj sayesinde paketler npm kay\u0131t defterinde neredeyse iki y\u0131l boyunca kalabildi.<\/p>\n Sald\u0131rganlar\u0131n kendi \u00e7al\u0131\u015fmalar\u0131n\u0131 d\u0131\u015f projelere zorla dahil etmeye \u00e7al\u0131\u015ft\u0131klar\u0131 s\u00f6ylenemez. Bunun yerine, ekosistemi g\u00f6r\u00fcn\u00fc\u015fte yasal kodlarla doldurdular ve birinin yaz\u0131m hatas\u0131 yapmas\u0131n\u0131 ya da arama sonu\u00e7lar\u0131ndan yanl\u0131\u015fl\u0131kla kendi k\u00fct\u00fcphanelerini se\u00e7mesini beklediler. Bir paket ad\u0131n\u0131 Endonezya yemekleriyle kar\u0131\u015ft\u0131rmak i\u00e7in tam olarak neyi aramak gerekti\u011fi pek net de\u011fil, ancak orijinal ara\u015ft\u0131rmada en az 11 projenin bir \u015fekilde bu paketleri derlemelerine dahil etmeyi ba\u015fard\u0131\u011f\u0131 belirtiliyor<\/a>.<\/p>\n Bu gereksiz paketlerin k\u00fc\u00e7\u00fck bir k\u0131sm\u0131nda yerle\u015fik bir kendi kendini \u00e7o\u011faltma mekanizmas\u0131 bulunuyordu; bir kez y\u00fcklendikten sonra, her yedi saniyede bir yeni paketler olu\u015fturup bunlar\u0131 npm kay\u0131t defterine yay\u0131nl\u0131yorlard\u0131. Bu yeni mod\u00fcllerin adlar\u0131 rastgele se\u00e7ilmi\u015fti (bunlar da Endonezya mutfa\u011f\u0131yla ilgiliydi) ve s\u00fcr\u00fcm numaralar\u0131 da vard\u0131. Beklendi\u011fi gibi, hepsi kurban\u0131n kimlik bilgilerini kullanarak yay\u0131nlanm\u0131\u015ft\u0131.<\/p>\n Di\u011fer k\u00f6t\u00fc ama\u00e7l\u0131 paketler TEA blockchain platformuyla entegre oldu. TEA projesi<\/a>, a\u00e7\u0131k kaynak kodlu yaz\u0131l\u0131m geli\u015ftiricilerini, kodlar\u0131n\u0131n pop\u00fclerli\u011fi ve kullan\u0131m s\u0131kl\u0131\u011f\u0131na orant\u0131l\u0131 olarak belirte\u00e7lerle \u00f6d\u00fcllendirmek \u00fczere tasarlanm\u0131\u015ft\u0131r. Teorik olarak, proje \u201cKatk\u0131 Kan\u0131t\u0131\u201d modeline g\u00f6re i\u015fler.<\/p>\n Bu paketlerin \u00f6nemli bir k\u0131sm\u0131 hi\u00e7bir i\u015flevsellik i\u00e7ermiyordu, ancak \u00e7o\u011fu zaman bir d\u00fczine ba\u011f\u0131ml\u0131l\u0131k bar\u0131nd\u0131r\u0131yordu. Tahmin edebilece\u011finiz gibi, bu ba\u011f\u0131ml\u0131l\u0131klar ayn\u0131 sald\u0131r\u0131 kampanyas\u0131 kapsam\u0131ndaki di\u011fer spam projelerine y\u00f6nlendiriyordu. Dolay\u0131s\u0131yla, bir kullan\u0131c\u0131 yanl\u0131\u015fl\u0131kla bu k\u00f6t\u00fc ama\u00e7l\u0131 paketlerden birini y\u00fckledi\u011finde, bu paket kendi ba\u011f\u0131ml\u0131l\u0131klar\u0131na sahip olan di\u011fer bir\u00e7ok paketi de beraberinde getirdi. Sonu\u00e7ta, son proje a\u015f\u0131r\u0131 miktarda gereksiz kodla dolup ta\u015fm\u0131\u015f hale geldi.<\/p>\n Bu konuda iki temel teori vard\u0131r. En bariz olan\u0131, bu ayr\u0131nt\u0131l\u0131 spam sald\u0131r\u0131 kampanyas\u0131n\u0131n tamam\u0131n\u0131n, yukar\u0131da bahsedilen TEA ileti\u015fim kural\u0131n\u0131 istismar etmek amac\u0131yla tasarlanm\u0131\u015f olmas\u0131d\u0131r. Esasen, sald\u0131rganlar a\u00e7\u0131k kaynak toplulu\u011funa herhangi bir yararl\u0131 katk\u0131 sa\u011flamadan TEA belirte\u00e7leri kazan\u0131rlar. Bu belirte\u00e7ler, borsalarda di\u011fer kripto para birimleriyle takas edilebilen standart dijital varl\u0131klard\u0131r. Sald\u0131rganlar, bir dizi ba\u011f\u0131ml\u0131l\u0131k ve kendi kendini \u00e7o\u011faltma mekanizmas\u0131 kullanarak, yasal a\u00e7\u0131k kaynak geli\u015ftiricileri gibi davranarak paketlerinin \u00f6nemini ve kullan\u0131m istatistiklerini yapay olarak \u015fi\u015firiyorlar. Baz\u0131 paketlerin README dosyalar\u0131nda sald\u0131rganlar, kazand\u0131klar\u0131 parayla bile \u00f6v\u00fcn\u00fcyorlar.<\/p>\n Ancak, daha t\u00fcyler \u00fcrpertici bir teori var. \u00d6rne\u011fin, ara\u015ft\u0131rmac\u0131 Garrett Calpouzos<\/a>, \u015fu anda g\u00f6rd\u00fc\u011f\u00fcm\u00fcz \u015feyin yaln\u0131zca bir kavram kan\u0131t\u0131 oldu\u011funu \u00f6ne s\u00fcr\u00fcyor. IndonesianFoods sald\u0131r\u0131 kampanyas\u0131, daha sonra di\u011fer siber su\u00e7lulara sat\u0131lmak \u00fczere tasarlanm\u0131\u015f yeni bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m da\u011f\u0131t\u0131m y\u00f6ntemini deniyor olabilir.<\/p>\n \u0130lk bak\u0131\u015fta, yaz\u0131l\u0131m geli\u015ftirme kurulu\u015flar\u0131 i\u00e7in tehlike a\u00e7\u0131k\u00e7a g\u00f6r\u00fclmeyebilir: Elbette, IndonesianFoods ekosistemi karma\u015f\u0131kla\u015ft\u0131r\u0131yor, ancak fidye yaz\u0131l\u0131m\u0131 veya veri ihlalleri gibi acil bir tehdit olu\u015fturuyor gibi g\u00f6r\u00fcnm\u00fcyor.\u00a0 Ancak, gereksiz ba\u011f\u0131ml\u0131l\u0131klar kodun boyutunu art\u0131r\u0131r ve geli\u015ftiricilerin sistem kaynaklar\u0131n\u0131 bo\u015fa harcar. Ayr\u0131ca, kurulu\u015funuzun ad\u0131 alt\u0131nda yay\u0131nlanan gereksiz paketler, geli\u015ftirici toplulu\u011fu i\u00e7indeki itibar\u0131n\u0131z\u0131 ciddi \u015fekilde zedeleyebilir.<\/p>\n Calpouzos\u2019un teorisini de g\u00f6z ard\u0131 edemeyiz. Yaz\u0131l\u0131m\u0131n\u0131za y\u00fcklenen bu spam paketleri, ger\u00e7ekten zararl\u0131 i\u015flevler i\u00e7eren bir g\u00fcncelleme ald\u0131klar\u0131 takdirde, sadece kurulu\u015funuz i\u00e7in de\u011fil, kullan\u0131c\u0131lar\u0131n\u0131z i\u00e7in de bir tehdit haline gelebilir ve tam anlam\u0131yla bir tedarik zinciri sald\u0131r\u0131s\u0131na d\u00f6n\u00fc\u015febilir.<\/p>\n Spam paketleri bir projeye kendili\u011finden girmez; bunlar\u0131n y\u00fcklenmesi, geli\u015ftiricinin bir anl\u0131k dikkatsizli\u011fine ba\u011fl\u0131d\u0131r. Bu nedenle, \u00e7al\u0131\u015fanlar aras\u0131nda (teknoloji konusunda bilgili olanlar dahil) modern siber tehditler konusunda d\u00fczenli olarak fark\u0131ndal\u0131k yarat\u0131lmas\u0131n\u0131 \u00f6neriyoruz. Etkile\u015fimli e\u011fitim platformumuz KASAP (Kaspersky Otomatik G\u00fcvenlik Fark\u0131ndal\u0131k Platformu)<\/a> bu konuda size yard\u0131mc\u0131 olabilir.<\/p>\nIndonesianFoods\u2019un i\u00e7eri\u011fi<\/h2>\n
Sald\u0131rganlar\u0131n bundan ne kazanc\u0131 var?<\/h2>\n
Projelerinizde neden gereksiz \u00f6geler istemezsiniz?<\/h2>\n
Kurulu\u015funuzu nas\u0131l koruyabilirsiniz?<\/h2>\n