CanisterWorm Zararlısı npm Hesaplarını ve Tedarik Zincirini Hedef Alıyor

Yazılım Dünyasında Yeni Bir Tehdit: CanisterWorm

Yazılım tedarik zinciri, CanisterWorm adı verilen ve kendi kendini kopyalayabilen yeni bir zararlı yazılım kampanyasının hedefi haline geldi. Güvenlik araştırmacıları tarafından TeamPCP grubuyla ilişkilendirilen bu tehdit, güvenilir yayıncıların ad alanlarını ele geçirerek zararlı paket sürümleri yayınlıyor. Başlangıçta Socket ve Endor Labs araştırmacıları tarafından tespit edilen bu saldırı dalgası, JFrog ekiplerinin yaptığı derinlemesine analizlerle çok daha geniş bir kapsama ulaştı. Özellikle @emilgroup ve @teale.io gibi ad alanlarında daha önce raporlanmamış birçok zararlı paket sürümü keşfedildi.

Sinsice İlerleyen Enfeksiyon Zinciri

Saldırı, bir geliştiricinin ele geçirilmiş bir paketi npm install komutuyla kurmasıyla başlıyor. Paket içindeki package.json dosyasına gizlenmiş bir postinstall kancası, sisteme sessizce bir Python arka kapısı yerleştiriyor. Linux sistemlerde bu zararlı, pgmon adında kalıcı bir arka plan hizmeti oluşturarak sistem yeniden başlatılsa bile aktif kalmayı başarıyor. Arka kapı, komuta ve kontrol sunucusu olarak merkeziyetsiz bir blokzincir altyapısı olan Internet Computer Protocol (ICP) kullanıyor. Bu sayede zararlı trafik, normal web istekleri arasına karışarak ağ izleme araçlarından gizlenebiliyor.

Otonom Yayılma ve Çalınan Kimlik Bilgileri

CanisterWorm'un en tehlikeli özelliği, otonom yayılma yeteneğidir. Zararlı yazılım, proje dizinlerindeki ve sistem yapılandırmalarındaki .npmrc dosyalarını tarayarak _authToken değerlerini ele geçiriyor. Çalınan bu kimlik bilgileriyle, kurbanın bakımını üstlendiği diğer tüm npm paketlerini buluyor, sürüm numaralarını artırıyor ve zararlı kodu içeren yeni güncellemeleri otomatik olarak yayınlıyor. Bu zincirleme reaksiyon, tek bir geliştirici hesabının onlarca farklı projeyi zehirlemesine yol açıyor.

Geliştiriciler İçin Acil Güvenlik Önlemleri

Eğer etkilenen paketlerden birini sisteminize kurduysanız, ortamınızın ele geçirildiğini varsaymalısınız. Güvenliği sağlamak için şu adımları derhal uygulamalısınız:

• .npmrc dosyalarındaki, ortam değişkenlerindeki ve CI/CD süreçlerindeki tüm npm yayınlama token'larını yenileyin.
• Linux kullanıcıları için pgmon hizmetini durdurun, devre dışı bırakın ve ilgili tüm dosya ve dizinleri tamamen silin.
• /tmp/pglog ve /tmp/.pg_state geçici dosyalarını sistemden kaldırın.
• Etkilenen node_modules dizinlerini silin ve güvenilir sürümlerle sıfırdan derleyin.
• Gelecekteki benzer saldırılardan korunmak için npm config set ignore-scripts true komutunu kullanarak postinstall kancalarının otomatik çalışmasını engelleyin.