Yeni bir saldırı yöntemi NPM ekosistemini hedef alıyor

Yazılım dünyasının kalbi sayılan NPM platformu bugünlerde kurnaz bir stratejiyle hedef alındı.

Veracode uzmanlarının yakaladığı Pulsar RAT vakasında, saldırganlar typosquatting yani popüler araçların isimlerini bir iki harf değiştirerek taklit etme yöntemini kullanıyor.Buildrunner-dev ismiyle sisteme sızan sahte paket, gerçek buildrunner aracını indirmek isteyen dalgın geliştiricileri pusuya düşürüyor.Kurulumun hemen ardından sahneye çıkan packageloader.bat dosyasında ise yüzlerce satırlık gereksiz kod yığını var.

Ancak bu yığının içinde 21 satırlık gerçek komut bulunuyor.

Geriye kalanlar sistemin dikkatini başka yöne çekmek için kurgulanmış.İşin ürkütücü kısmı ise steganography denilen yöntemde.

Kötü niyetli kişiler söz konusu yöntemle, masum bir PNG dosyasındaki renk piksellerinin arasına virüs kodlarını nakış gibi işlemiş.

Yazılım bilgisayara sızdığında renk verilerini okuyarak asıl darbeyi vuracak olan Pulsar RAT virüsünü aktif hâle getiriyor.Üstelik process hollowing tekniğiyle güvenli bir programın içini boşaltıp, yerine kendi kodlarını yerleştirerek sistemde adeta hayalet gibi dolaşıyor.

Bilgisayardaki antivirüs programlarını tek tek kontrol eden Pulsar RAT, fodhelper.exe gibi sistem araçlarını da ele geçirerek hiçbir uyarı vermeden tüm yetkileri kontrol edebiliyor.Siber güvenlik uzmanları, yazılım tedarik zincirine karşı gerçekleştirilen böyle karmaşık saldırılara karşı Zero Trust yaklaşımının benimsenmesi gerektiğini belirtti.Hiçbir dijital kaynağa peşinen güvenmeme anlamına gelen ve her girişte kimlik kontrolü yapmaya benzeyen bu anlayışla birlikte, geliştiricilerin paket isimlerini titizlikle doğrulaması büyük önem taşıyor.